Aws 错误 User/Password Authentication/Authorization
AWS MSK User/Password Authentication/Authorization
我希望能够 authenticate/authorize 客户向 produce/consume 发送有关特定主题的消息。他们将成为我们 vpn 的一部分(包括 aws)。据我了解可用文档,执行此操作的唯一选择是颁发客户端证书并根据客户端 DN 设置 ACL?不幸的是,我无法使用我的私人 CA(我在 linux 笔记本电脑上创建的)来创建客户端证书。所以出现以下问题:
- 我需要设置 AWS 托管 CA (ACM PCA) 是否正确?这将导致几乎两倍的设置成本,包括。最小代理配置。
- 我可以通过诸如 "kafka rest proxy" 之类的东西从融合中将外部世界代理到 msk 集群中 - 正确吗?
- 我错过了什么吗? AWS 中内置了更简单的方法吗?
请赐教:)
提前致谢
马塞尔
您可能想尝试 AWS Cognito https://aws.amazon.com/cognito/
是的,我相信这是正确的。要通过 TLS 进行客户端身份验证,您需要提供在创建集群时使用 AWS PCM 设置的私有 CA 的 ARN - 并且您必须使用 aws 命令行工具 (aws kafka create-cluster ...) 来创建集群。 UI(我上次查看)没有任何地方可以指定该 ARN。
我不知道 - 我们硬着头皮用 ACM 设置了私有 CA。
没有。我们希望 AWS 最终会集成 IAM,这样您就可以作为 IAM 用户而不是客户端证书进行身份验证,但这不是今天的情况。今天,它是仅用于身份验证的客户端证书。
Support for Username and Password Security 看起来像你想要的?我认为这是新的..
我希望能够 authenticate/authorize 客户向 produce/consume 发送有关特定主题的消息。他们将成为我们 vpn 的一部分(包括 aws)。据我了解可用文档,执行此操作的唯一选择是颁发客户端证书并根据客户端 DN 设置 ACL?不幸的是,我无法使用我的私人 CA(我在 linux 笔记本电脑上创建的)来创建客户端证书。所以出现以下问题:
- 我需要设置 AWS 托管 CA (ACM PCA) 是否正确?这将导致几乎两倍的设置成本,包括。最小代理配置。
- 我可以通过诸如 "kafka rest proxy" 之类的东西从融合中将外部世界代理到 msk 集群中 - 正确吗?
- 我错过了什么吗? AWS 中内置了更简单的方法吗?
请赐教:)
提前致谢 马塞尔
您可能想尝试 AWS Cognito https://aws.amazon.com/cognito/
是的,我相信这是正确的。要通过 TLS 进行客户端身份验证,您需要提供在创建集群时使用 AWS PCM 设置的私有 CA 的 ARN - 并且您必须使用 aws 命令行工具 (
aws kafka create-cluster ...) 来创建集群。 UI(我上次查看)没有任何地方可以指定该 ARN。我不知道 - 我们硬着头皮用 ACM 设置了私有 CA。
没有。我们希望 AWS 最终会集成 IAM,这样您就可以作为 IAM 用户而不是客户端证书进行身份验证,但这不是今天的情况。今天,它是仅用于身份验证的客户端证书。
Support for Username and Password Security 看起来像你想要的?我认为这是新的..