3

我希望能够对客户端进行身份验证/授权以生成/使用某些主题的消息。它们将成为我们 vpn(包括 aws)的一部分。据我了解可用的文档,唯一的选择是颁发客户端证书并根据客户端 DN 设置 ACL?不幸的是,我无法使用我的私有 CA(我在我的 linux 笔记本电脑上创建的)来创建客户端证书。因此出现以下问题:

  1. 我需要设置 AWS 托管 CA (ACM PCA) 是否正确。这将导致几乎两倍的设置成本,包括。最低代理配置。
  2. 我可以通过 confluent 中的“kafka rest proxy”之类的东西将外部世界代理到 msk 集群中——对吗?
  3. 我错过了什么吗?AWS 中是否有更简单的方法?

请赐教:)

在此先感谢马塞尔

4

3 回答 3

4

  1. 是的,我相信这是正确的。要通过 TLS 进行客户端身份验证,您需要提供在创建集群时使用 AWS PCM 设置的私有 CA 的 ARN - 并且您必须使用 aws 命令行工具 ( aws kafka create-cluster ...) 来创建集群。UI(我上次查看时)没有任何地方可以指定该 ARN。

  2. 我不知道——我们硬着头皮用 ACM 建立了一个私有 CA。

  3. 没有。我们希望 AWS 最终会集成 IAM,这样您就可以作为 IAM 用户而不是客户端证书进行身份验证,但这不是现在的情况。今天,它只是用于身份验证的客户端证书。

于 2019-09-19T22:01:58.037 回答
0

对用户名和密码安全的支持看起来像您想要的那样?我觉得是新的。。

于 2020-09-21T06:43:44.560 回答
-2

您可能想尝试 AWS Cognito https://aws.amazon.com/cognito/

于 2019-08-05T12:56:16.557 回答