AWS MSK Проверка подлинности пользователя / пароля / авторизация
Я хочу иметь возможность аутентифицировать / авторизовать клиентов для создания / потребления сообщений на определенные темы. они будут частью нашего vpn (включая aws). насколько я понимаю доступная документация, единственный вариант сделать это - выдать клиентские сертификаты и настроить ACL на основе DN клиентов? К сожалению, я не смог использовать свой личный центр сертификации (который я создал на своем ноутбуке Linux) для создания клиентских сертификатов. поэтому возникают следующие вопросы:
- это правильно, что мне нужно настроить размещенный в AWS CA (ACM PCA). это приведет к удвоению затрат на установку, в т.ч. минимальные конфиги брокера.
- я мог бы прокси внешний мир в кластер msk через что-то вроде "kafka rest proxy" из слияния - правильно?
- я что-то пропустил? Есть ли более простой способ, встроенный в AWS?
пожалуйста, просветите меня:)
заранее спасибо марсель
1 ответ
Да, я считаю, что это правильно. Чтобы выполнить аутентификацию клиента через TLS, вам необходимо предоставить ARN вашего частного ЦС, настроенного с помощью AWS PCM во время создания кластера, и вы должны использовать инструмент командной строки aws (
aws kafka create-cluster ...) для создания кластера. Пользовательский интерфейс (когда я смотрел в последний раз) нигде не указывал этот ARN.Я не знаю - мы укусили пулю и создали частный центр сертификации с ACM.
Нет. Мы надеемся, что в конечном итоге AWS интегрирует IAM, чтобы вы могли аутентифицироваться как пользователь IAM вместо сертификата клиента, но сегодня это не то, что нужно. Сегодня это клиентский сертификат только для аутентификации.
Поддержка защиты имени пользователя и пароля выглядит так, как вам нужно? Я думаю это новенькое..
Есть AWS Cognito, который вы можете попробовать https://aws.amazon.com/cognito/