Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizierung mit m TLS für Redshift-Streaming-Ingestion von Amazon MSK
Mutual Transport Layer Security (mTLS) ermöglicht es einem Server, einen Client zu authentifizieren, an den er Informationen sendet, und dem Client, den Server zu authentifizieren. Der Vorteil der Verwendung von m TLS besteht darin, eine vertrauenswürdige Authentifizierung für eine Vielzahl von Anwendungsfällen in verschiedenen branchenübergreifenden Anwendungen bereitzustellen. Dazu gehören Anwendungsfälle in der Finanz-, Einzelhandels-, Regierungs- und Gesundheitsbranche. Bei der Streaming-Aufnahme in Redshift erfolgt die Authentifizierung zwischen einem Server, in diesem Fall AmazonMSK, und einem von Amazon Redshift bereitgestellten Cluster oder einer Amazon Redshift Serverless-Arbeitsgruppe.
Dieses Thema enthält Verfahren und Beispiele für SQL -Befehle, die zeigen, wie ein externes Schema erstellt werden kann, das m TLS für die Authentifizierung zwischen dem Redshift-Client und dem Amazon-Server verwendet. MSK Die Schritte in diesem Thema ergänzen die vollständigen Schritte zur Einrichtung der Streaming-Aufnahme von Amazon. MSK Diese werden unter detailliert beschrieben. Erste Schritte mit der Streaming-Aufnahme von Amazon Managed Streaming for Apache Kafka (Amazon) MSK
Voraussetzungen für die Verwendung von m TLS für die Streaming-Aufnahme
Dieser Abschnitt enthält die erforderlichen Schritte für die Verwendung von m TLS für die Streaming-Aufnahme bei Amazon AWS Certificate Manager oder bei Amazon. SageMaker
Als ersten Schritt müssen Sie über eine private Zertifizierungsstelle (PCA) verfügen oder eine solche einrichten, mit der Sie Zertifikate ausstellen können, die unter anderem eine sichere Kommunikation über sichere Kommunikationskanäle ermöglichen. AWS Private Certificate Authority (Private CA) ist ein verfügbarer Dienst, der diese Funktion ausführt. Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter Erstellen einer privaten Zertifizierungsstelle. In einem späteren Schritt stellen Sie ein Zertifikat aus und hängen es an Ihren MSK Amazon-Cluster an, um eine verschlüsselte Kommunikation mit Redshift zu ermöglichen.
Erstellen Sie einen MSK Amazon-Cluster, der die MTLS-Client-Authentifizierung unterstützt. Weitere Informationen zur Konfiguration eines MSK Amazon-Clusters finden Sie unter So erstellen Sie einen Cluster, der die Client-Authentifizierung unterstützt im Amazon Managed Streaming for Apache Kafka Developer Guide.
Bearbeiten Sie die Sicherheitseinstellungen für den MSK Amazon-Cluster, aktivieren Sie die TLS Client-Authentifizierung mit AWS Certificate Manager (ACM) und wählen Sie AWS Private CA (PCA) aus, die Sie zuvor erstellt haben. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitseinstellungen eines Clusters im Amazon Managed Streaming for Apache Kafka Developer Guide.
Verwendung von m TLS für die Streaming-Aufnahme mit AWS Certificate Manager
Das folgende Verfahren zeigt, wie Sie m TLS für die Redshift-Streaming-Aufnahme konfigurieren, indem Sie AWS Certificate Manager (ACM) für die Speicherung und Verwaltung von Zertifikaten nutzen:
Fordern Sie ein privates Zertifikat an über. ACM Wenn Sie dies tun, wählen Sie die, die PCA Sie im Abschnitt Voraussetzungen erstellt haben, als Zertifizierungsstelle aus. ACMspeichert das signierte Zertifikat und den angehängten privaten Schlüssel für eine sichere Kommunikation. Weitere Informationen zur Verwaltung von Zertifikaten mit ACM finden Sie unter Ausstellen und Verwalten von Zertifikaten im AWS Certificate Manager Benutzerhandbuch.
Fügen Sie für die IAM Rolle, die Sie zur Verwaltung Ihres Redshift-Clusters oder Ihrer Amazon Redshift Serverless-Arbeitsgruppe verwenden, die Berechtigung zum Exportieren des Zertifikats hinzu, nämlich acm:. ExportCertificate Weitere Informationen zur Einrichtung der erforderlichen IAM Ressourcen für die Streaming-Aufnahme bei Amazon MSK finden Sie unter. IAMBerechtigungen einrichten und Streaming-Daten von Kafka aufnehmen Geben Sie im nächsten Schritt dieselbe IAM Rolle an, um das externe Schema zu erstellen.
Holen Sie sich den Bootstrap-Broker URI für den MSK Amazon-Cluster. Informationen zum Herunterladen des Bootstrap-Brokers URI finden Sie unter Bootstrap-Broker für einen MSK Amazon-Cluster im Amazon Managed Streaming for Apache Kafka Developer Guide.
Führen Sie einen SQL Befehl wie das folgende Beispiel aus, um ein externes Schema zu erstellen, das einen Stream aus einem MSK Amazon-Cluster einem externen Redshift-Schema zuordnet, indem Sie
mtls.CREATE EXTERNAL SCHEMA my_schema FROM MSK IAM_ROLE 'arn:aws:iam::012345678901:role/my_role' AUTHENTICATION mtls URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094' AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';Wichtige Parameter:
IAM_ ROLE — Die dem Cluster zugeordnete IAM Rolle für die Streaming-Aufnahme.
URI— Der Bootstrap-Broker URI für den MSK Amazon-Cluster. Beachten Sie, dass Port 9094 für die Kommunikation mit Brokern zur TLS Verschlüsselung spezifiziert ist.
AUTHENTICATION_ ARN — Der ARN des ACM Zertifikats. Das ARN ist in der ACM Konsole verfügbar, wenn Sie das ausgestellte Zertifikat auswählen.
Nachdem Sie diese Konfigurationsschritte ausgeführt haben, können Sie eine materialisierte Redshift-Ansicht erstellen, die auf das im Beispiel definierte Schema verweist, und diese dann REFRESH MATERIALIZED VIEW zum Streamen von Daten verwenden. Dies wird in den ersten Schritten für das Streaming von Amazon MSK unter Erste Schritte mit der Streaming-Aufnahme von Amazon Managed Streaming for Apache Kafka () detailliert beschrieben. MSK
Verwendung von m für die Streaming-Aufnahme mit TLS AWS Secrets Manager
Sie können m TLS für die Redshift-Streaming-Aufnahme konfigurieren, indem Sie es AWS Secrets Manager für die Zertifikatsverwaltung nutzen, wenn Sie nicht auf das Zertifikat verweisen möchten. ACM In den folgenden Schritten wird beschrieben, wie Sie es konfigurieren.
Erstellen Sie mit dem Tool Ihrer Wahl eine Zertifikatsignieranforderung und einen privaten Schlüssel. Anschließend können Sie die Signaturanforderung verwenden, um ein signiertes Zertifikat zu generieren, indem Sie dieselbe AWS private CA (PCA) verwenden, mit der Sie das Zertifikat für den MSK Amazon-Cluster generiert haben. Weitere Informationen zur Ausstellung eines Zertifikats finden Sie IssueCertificatein der AWS Private Certificate Authority APIReferenz.
Extrahieren Sie das Zertifikat mit AWS Private Certificate Authority. Weitere Informationen finden Sie unter Privates Zertifikat abrufen> im AWS Private Certificate Authority Benutzerhandbuch.
Speichern Sie das Zertifikat und den privaten Schlüssel, die im vorherigen Schritt unter generiert wurden. AWS Secrets Manager Wählen
Other type of secretund verwenden Sie das Klartext-Format. Die Schlüssel-Wert-Paare sollten das Format wie im folgenden{"certificate":"<cert value>","privateKey":"<pkey value>"}Beispiel haben. Weitere Informationen zum Erstellen und Verwalten von Geheimnissen in AWS Secrets Manager finden Sie unter Create and manage secrets with AWS Secrets Manager im AWS Secrets Manager Benutzerhandbuch.{"certificate":"-----BEGIN CERTIFICATE----- klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi H4hAX8/eE96qCcjkpfT84EdvHzp6fC+/WwM0oXlwUEWlvfMCXNaG5D8SqRq3qA== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY -----END CERTIFICATE-----", "privateKey":"-----BEGIN PRIVATE KEY----- klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi 7OD4m1dBEs3Fj++hDMH9rYRp99RqtCOf0EWOUe139KOilOsW+cyhAoc9Ci2+Jo/k 17u2N1iGILMQEZuCRtnJOkFYkw== -----END PRIVATE KEY-----"}Führen Sie in Redshift den SQL Befehl aus, um das externe Schema zu erstellen. Sie verwenden den AUTHENTICATION Typ
mtls. Sie geben auch den URI des MSK Amazon-Clusters und den Secret ARN in an AWS Secrets Manager.CREATE EXTERNAL SCHEMA my_schema FROM MSK IAM_ROLE 'arn:aws:iam::012345678901:role/my_role' AUTHENTICATION mtls URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094' SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';
Wichtige Parameter:
IAM_ ROLE — Die dem Cluster zugeordnete IAM Rolle für die Streaming-Aufnahme.
URI— Der Bootstrap-Broker URI für den MSK Amazon-Cluster. Beachten Sie, dass Port 9094 für die Kommunikation mit Brokern zur TLS Verschlüsselung spezifiziert ist.
SECRET_ ARN — Das Geheimnis ARN von Secrets Manager, das das für m zu verwendende Zertifikat enthältTLS.
Aktivierung der TLS M-Authentifizierung für ein vorhandenes externes Schema
Wenn Sie über ein vorhandenes externes Schema verfügen, das Sie für die Streaming-Aufnahme verwenden, und Sie die gegenseitige TLS Authentifizierung implementieren möchten, können Sie einen Befehl wie den folgenden ausführen, der die TLS m-Authentifizierung und das ACM Zertifikat ARN in spezifiziert. ACM
ALTER EXTERNAL SCHEMA schema_name AUTHENTICATION mtls AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';
Oder Sie können die TLS M-Authentifizierung mit Verweis auf das Geheimnis ARN in angeben. AWS Secrets Manager
ALTER EXTERNAL SCHEMA schema_name AUTHENTICATION mtls SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';
