Configurare SASL/SCRAM l'autenticazione per un cluster Amazon MSK - Amazon Managed Streaming per Apache Kafka

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare SASL/SCRAM l'autenticazione per un cluster Amazon MSK

Per impostare un segreto in AWS Secrets Manager, segui il tutorial Creazione e recupero di un segreto nella Guida per l'utente di AWS Secrets Manager.

Tieni presente i seguenti requisiti quando crei un segreto per un cluster Amazon MSK:

  • Per il tipo di segreto, scegli Altro tipo di segreto (es. chiave API).

  • Il nome del segreto deve iniziare con il prefisso AmazonMSK_.

  • È necessario utilizzare una AWS KMS chiave personalizzata esistente o creare una nuova AWS KMS chiave personalizzata per il segreto. Secrets Manager utilizza la AWS KMS chiave predefinita per un segreto per impostazione predefinita.

    Importante

    Un segreto creato con la AWS KMS chiave predefinita non può essere utilizzato con un cluster Amazon MSK.

  • I dati delle credenziali di accesso devono essere nel seguente formato per inserire coppie chiave-valore utilizzando l'opzione Non crittografato.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Prendi nota del valore del nome della risorsa Amazon (ARN) del segreto.

  • Importante

    Non è possibile associare un segreto di Secrets Manager a un cluster che supera i limiti descritti in Dimensionamento corretto del cluster: numero di partizioni per broker standard.

  • Se si utilizza il AWS CLI per creare il segreto, specificare un ID chiave o un ARN per il kms-key-id parametro. Non specificare un alias.

  • Per associare il segreto al cluster, utilizza la console Amazon MSK o l' BatchAssociateScramSecretoperazione.

    Importante

    Quando associ un segreto a un cluster, Amazon MSK collega al segreto una policy delle risorse che consente al cluster di accedere e leggere i valori del segreto che hai definito. Questa policy delle risorse non dovrebbe essere modificata. In questo modo, è possibile impedire al cluster di accedere al segreto. Se apporti modifiche alla policy delle risorse Secrets e/o alla chiave KMS utilizzata per la crittografia segreta, assicurati di riassociare i segreti al tuo cluster MSK. In questo modo il cluster potrà continuare ad accedere al segreto.

    L'esempio seguente di input JSON per l'operazione BatchAssociateScramSecret associa un segreto a un cluster:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}