AWS MSK用户/密码身份验证/授权

时间:2019-08-05 07:19:01

标签: amazon-web-services authentication ssl apache-kafka aws-msk

我希望能够对客户端进行身份验证/授权,以产生/使用某些主题的消息。它们将成为我们vpn(包括AWS)的一部分。据我了解可用文档,这样做的唯一选择是颁发客户端证书并基于客户端DN设置ACL?不幸的是,我无法使用我的私人CA(我在Linux笔记本电脑上创建的)来创建客户端证书。因此出现以下问题:

  1. 我是否需要设置一个AWS托管CA(ACM PCA)是否正确?这将导致几乎两倍的安装成本,包括最低代理配置。
  2. 我可以通过汇合处的“ kafka rest proxy”之类的东西将外部世界代理到msk集群中-对吗?
    3. 我想念什么吗? AWS内置了更简单的方法吗?

请赐教:)

先谢谢 马塞尔

3 个答案:

答案 0 :(得分:1)

  1. 是的,我相信这是正确的。要通过TLS进行客户端身份验证,您需要在创建集群时提供使用AWS PCM设置的私有CA的ARN-并且必须使用aws命令行工具(aws kafka create-cluster ...)创建集群。 UI(我上次查看)没有任何地方可以指定该ARN。

  2. 我不知道-我们忍无可忍,并使用ACM设置了私有CA。

  3. 不。我们希望AWS最终能够集成IAM,以便您可以作为IAM用户而不是客户端证书进行身份验证,但是今天还不是这样。今天,它仅是用于身份验证的客户端证书。

答案 1 :(得分:0)

您可能想尝试https://aws.amazon.com/cognito/

的AWS Cognito

答案 2 :(得分:0)

Support for Username and Password Security看起来像您想要的吗?我认为这是新的。

相关问题
最新问题