Configurar a autenticação SASL/SCRAM para um cluster do Amazon MSK - Amazon Managed Streaming for Apache Kafka

Configurar a autenticação SASL/SCRAM para um cluster do Amazon MSK

Para configurar um segredo no AWS Secrets Manager, siga o tutorial Como criar e recuperar um segredo no Guia do usuário do AWS Secrets Manager.

Observe os seguintes requisitos ao criar um segredo para um cluster do Amazon MSK:

  • Escolha Outros tipos de segredos (p. ex., chave de API) para o tipo de segredo.

  • O nome do segredo deve começar com o prefixo AmazonMSK_.

  • Você deve usar uma chave personalizada existente do AWS KMS ou criar uma nova chave personalizada do AWS KMS para seu segredo. O Secrets Manager usa por padrão a chave padrão AWS KMS para um segredo.

    Importante

    Um segredo criado com a chave padrão AWS KMS não pode ser usado com um cluster do Amazon MSK.

  • Seus dados de credencial de acesso devem estar no formato a seguir para que seja possível inserir pares de valor/chave usando a opção Texto simples.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Registre o valor do ARN (nome do recurso da Amazon) do seu segredo.

  • Importante

    Você não pode associar um segredo do Secrets Manager a um cluster que exceda os limites descritos em Dimensione seu cluster adequadamente: número de partições por agente Standard.

  • Se você usar o AWS CLI para criar o segredo, especifique um ARN ou ID de chave para o parâmetro kms-key-id. Não especifique um alias.

  • Para associar o segredo ao seu cluster, use o console do Amazon MSK ou a operação BatchAssociateScramSecret.

    Importante

    Quando você associa um segredo a um cluster, o Amazon MSK anexa uma política de recursos ao segredo, permitindo que seu cluster acesse e leia os valores secretos que você definiu. Você não deve modificar essa política de recursos. Isso pode impedir que seu cluster acesse seu segredo. Se você fizer alguma alteração na política de recursos de segredos e/ou na chave KMS usada para criptografia secreta, certifique-se de associar novamente os segredos ao seu cluster do MSK. Isso garantirá que seu cluster conseguirá continuar a acessar seu segredo.

    O exemplo de entrada JSON a seguir para a operação BatchAssociateScramSecret associa um segredo a um cluster:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}