AWS MSK 用户/密码身份验证/授权

Question

AWS MSK 用户/密码身份验证/授权

amazon-web-servicesauthenticationsslapache-kafkaaws-msk

3

我希望能够对客户进行身份验证/授权，以便在特定的主题上生成/消费消息。他们将成为我们VPN（包括AWS）的一部分。据我了解，根据可用文档，唯一可以实现这一目标的选项是颁发客户端证书并基于客户端DN设置ACL？不幸的是，我无法使用我在Linux笔记本上创建的私有CA来创建客户端证书。所以出现以下问题：

是否正确需要设置由AWS托管的CA（ACM PCA）？这将导致几乎两倍的设置成本，包括最小经纪人配置。
我可以通过像Confluent的“Kafka Rest Proxy”之类的工具将外部世界代理到MSK群集中 - 正确吗？
我是否遗漏了什么？AWS内置了更简单的方法吗？

请给我指点：）

先感谢您啦！ Marcel

- niesfisch

3个回答

0

支持用户名和密码安全看起来是你想要的吗？我觉得这是新功能..

- russau

-2

有AWS Cognito，你可能想要尝试一下https://aws.amazon.com/cognito/

- javros

Amazon MSK似乎没有与Cognito集成的功能。 - Mrigank Kishore Varma

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Alex Zuroff · Accepted Answer

是的，我认为这是正确的。要使用TLS进行客户端身份验证，您需要在创建集群时提供已在AWS PCM上设置的私有CA的ARN，而且必须使用aws命令行工具(aws kafka create-cluster ...)创建集群。UI（我上次看到的）没有任何地方可以指定该ARN。
我不知道-我们挺过来了，使用ACM设置私有CA。
没有。我们希望最终AWS将IAM集成，这样您可以作为IAM用户进行身份验证，而不是客户端证书，但今天还没有。今天，仅支持客户端证书进行身份验证。