请选择 进入手机版 | 继续访问电脑版
MSIPO技术圈 首页 IT技术 查看内容

AWS MSK集群认证和加密传输的属性与配置

2023-07-13

通常,身份认证和加密传输是两项不相关的安全配置,在Kafka/MSK上,身份认证和加密传输是有一些耦合关系的,重点是:**对于MSK来说,当启用IAM, SASL/SCRAM以及TLS三种认证方式时,TLS加密传输是必须的!只有设置为Unauthenticated(无认证)时,TLS加密才是可选的,但如果不显示配置PLAINTEXT的话,默认也是启用TLS加密的。**本文地址:https://laurence.blog.csdn.net/article/details/131696373,转载请注明出处!
在这里插入图片描述
我们再换一种描述方法:

1. 在MSK中,不管使用使用什么认证,如果不配置加密传输,则默认总是TLS加密传输的
2. 在MSK中,IAM, SASL/SCRAM和TLS三种认证方式必须配置为TLS加密传输
3. 在MSK中,只有Unauthenticated(无认证)可以自由选择PLAINTEXT传输和TLS加密传输,但是,如果不明确配置使用PLAINTEXT传输,默认还是使用TLS加密传输

我们来看3组典型配置,其中黑色命令行是使用aws kafka describe-cluster命令输出的集群信息,白色页面是AWS MSK控制台的信息。

1. 无认证,无加密

在这里插入图片描述

在这份配置中,有一个重要的细节:PLAINTEXT的加密形式必须显示地配置!在使用aws kafka create-cluster-v2 --cli-input-json file://xxx创建集群时,必须在Json文件中显式地配置:

"EncryptionInfo": {
    "EncryptionInTransit": {
        "ClientBroker": "PLAINTEXT",
        "InCluster": false
    }
}

如果没有这份显示配置,默认就会变成使用TLS加密了,也就是下面这种配置了:

2. 无认证,TLS加密

在这里插入图片描述

呼应第1种情形,实际上,在使用aws kafka create-cluster-v2 --cli-input-json file://xxx创建集群时,这里的TLS是不需要配置的,默认总是启用TLS的。

3. IAM认证

在这里插入图片描述

使用IAM认证时,必须启用TLS加密传输!在使用aws kafka create-cluster-v2 --cli-input-json file://xxx创建集群时,也是不需要显式配置TLS加密的,因为默认TLS加密总是启用的。

关于如何配置MSK的TLS加密传输,请参考官方文档:

https://docs.aws.amazon.com/msk/latest/developerguide/msk-authentication.html

相关阅读

热门文章

    手机版|MSIPO技术圈 皖ICP备19022944号-2

    Copyright © 2024, msipo.com

    返回顶部