翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon MSK クラスターのセキュリティ設定を更新する
Amazon MSK の [UpdateSecurity](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity) 操作を使用して、MSK クラスターの認証およびクライアントとブローカー間の暗号化設定を更新することができます。また、相互 TLS 認証の証明書への署名に使用するプライベートセキュリティ認証を更新することもできます。クラスター内 (ブローカー間) 暗号化の設定は変更できません。
セキュリティ設定を更新するには、クラスターは `ACTIVE` 状態である必要があります。
IAM、SASL、または TLS を使用して認証をオンにする場合は、クライアントとブローカーの間の暗号化も有効にする必要があります。次の表に、考えられる組み合わせを示します。
****
| 認証 | クライアントとブローカー間の暗号化オプション | ブローカー間の暗号化 |
| --- | --- | --- |
| 未認証 | TLS、PLAINTEXT、TLS\$1PLAINTEXT | オンでもオフでも可。 |
| mTLS | TLS、TLS\$1PLAINTEXT | オンのみ可。 |
| SASL/SCRAM | TLS | オンのみ可。 |
| SASL/IAM | TLS | オンのみ可。 |
クライアント―ブローカー間の暗号化が `TLS_PLAINTEXT` に設定されており、クライアント認証は `mTLS` に設定されている場合、Amazon MSK はクライアントが接続可能な 2 種類のリスナーを作成します。一方はクライアントが TLS 暗号化で mTLS 認証を用いて接続できるリスナーで、もう一方は認証または暗号化 (プレーンテキスト) なしで接続可能なリスナーです。
セキュリティの設定についてのより詳細な情報は、「[Amazon MSK のセキュリティ](security.md)」を参照してください。
# を使用して Amazon MSK クラスターのセキュリティ設定を更新する AWS マネジメントコンソール
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/msk/home?region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/) で Amazon MSK コンソールを開きます。
1. 更新する MSK クラスターを選択します。
1. **[Security settings]** (セキュリティ設定) セクションで **[Edit]** (編集) を選択します。
1. クラスターに必要な認証および暗号化の設定を選択し、** [Save changes]** (変更の保存) を行います。
# を使用した Amazon MSK クラスターのセキュリティ設定の更新 AWS CLI
1. クラスターに適用したい暗号化設定を含む JSON ファイルを作成します。以下に例を示します。
**注記**
更新できるのは、クライアント―ブローカー間の暗号化設定のみです。クラスター内部 (ブローカー―ブローカー間) の暗号化設定を更新することはできません。
```
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
```
1. クラスターに適用したい認証設定を含む JSON ファイルを作成します。以下に例を示します。
```
{"Sasl":{"Scram":{"Enabled":true}}}
```
1. 次の AWS CLI コマンドを実行します。
```
aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File
```
この `update-security` オペレーションの出力は、次の JSON のようになります。
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
1. `update-security` オペレーションの結果を取得するには、 *[ClusterOperationArn]* を `update-security` コマンドの出力で取得した ARN に置き換え、次のコマンドを実行します。
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
この `describe-cluster-operation` コマンドの出力は、次の JSON の例のようになります。
```
{
"ClusterOperationInfo": {
"ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2021-09-17T02:35:47.753000+00:00",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "PENDING",
"OperationType": "UPDATE_SECURITY",
"SourceClusterInfo": {},
"TargetClusterInfo": {}
}
}
```
`OperationState` に値 `PENDING` または `UPDATE_IN_PROGRESS` がある場合、しばらく待ってから再度 `describe-cluster-operation` コマンドを実行します。
**注記**
クラスターのセキュリティ設定を更新するための AWS CLI および API オペレーションはべき等です。つまり、セキュリティ更新オペレーションを呼び出して、対象のクラスターに現在設定されているものと同じ認証または暗号化設定を指定しても、その設定は変更されません。
# API を使用したクラスターのセキュリティ設定の更新
API を使用して Amazon MSK クラスターのセキュリティ設定を更新するには、「[UpdateSecurity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity)」を参照してください。
**注記**
MSK クラスターのセキュリティ設定を更新するための AWS CLI および API オペレーションはべき等です。つまり、セキュリティ更新オペレーションを呼び出して、対象のクラスターに現在設定されているものと同じ認証または暗号化設定を指定しても、その設定は変更されません。