Creación de un clúster de Amazon MSK compatible con la autenticación de clientes

Este procedimiento muestra cómo habilitar la autenticación del cliente mediante una Autoridad de certificación privada de AWS.

1. Cree un archivo denominado clientauthinfo.json con el siguiente contenido. Sustituya Private-CA-ARN (ARN-CA-privado) por el ARN de su PCA.

   {
      "Tls": {
          "CertificateAuthorityArnList": ["Private-CA-ARN"]
       }
   }

2. Cree un archivo llamado brokernodegroupinfo.json tal y como se describe en Creación de un clúster de Amazon MSK aprovisionado mediante la AWS CLI.

3. La autenticación del cliente precisa que también habilite el cifrado en tránsito entre clientes y agentes. Cree un archivo denominado encryptioninfo.json con el siguiente contenido. Sustituya KMS-Key-ARN (ARN-clave-KMS) por el ARN de su clave de KMS. Puede establecer ClientBroker en TLS o TLS_PLAINTEXT.

   {
      "EncryptionAtRest": {
          "DataVolumeKMSKeyId": "KMS-Key-ARN"
       },
      "EncryptionInTransit": {
           "InCluster": true,
           "ClientBroker": "TLS"
       }
   }

   Para obtener más información sobre el cifrado de , consulte Cifrado de Amazon MSK.

4. En una máquina en la que tiene la AWS CLI instalada, ejecute el siguiente comando para crear un clúster con la autenticación y el cifrado en tránsito habilitados. Guarde el ARN del clúster proporcionado en la respuesta.

   aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3