Otentikasi dengan m TLS untuk konsumsi streaming Redshift dari Amazon MSK - Amazon Redshift
Prasyarat untuk menggunakan m untuk streaming konsumsi TLSMenggunakan m TLS untuk streaming konsumsi, dengan AWS Certificate ManagerMenggunakan m TLS untuk streaming konsumsi dengan AWS Secrets ManagerMengaktifkan TLS otentikasi m untuk skema eksternal yang ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi dengan m TLS untuk konsumsi streaming Redshift dari Amazon MSK

Mutual transport-layer security (mTLS) menyediakan sarana bagi server untuk mengotentikasi klien yang mengirim informasi ke, dan bagi klien untuk mengotentikasi server. Manfaat menggunakan m TLS adalah menyediakan otentikasi tepercaya untuk berbagai kasus penggunaan di beberapa aplikasi vertikal industri. Ini termasuk kasus penggunaan di industri keuangan, ritel, pemerintah dan perawatan kesehatan. Dalam kasus konsumsi streaming ke Redshift, otentikasi terjadi antara server, dalam hal ini Amazon, dan cluster yang disediakan Amazon Redshift MSK atau grup kerja Amazon Redshift Tanpa Server.

Topik ini menyediakan prosedur dan contoh SQL perintah yang menunjukkan cara membuat skema eksternal yang menggunakan m TLS untuk mengautentikasi antara klien Redshift dan server Amazon. MSK Langkah-langkah dalam topik ini melengkapi serangkaian langkah lengkap untuk mengatur konsumsi streaming dari Amazon. MSK Ini dirinci diMemulai dengan konsumsi streaming dari Amazon Managed Streaming for Apache Kafka (Amazon) MSK.

Prasyarat untuk menggunakan m untuk streaming konsumsi TLS

Bagian ini memberikan langkah-langkah prasyarat untuk menggunakan m TLS untuk streaming konsumsi dengan salah satu atau Amazon. AWS Certificate Manager SageMaker

  1. Sebagai langkah awal, Anda harus memiliki atau membuat otoritas sertifikat pribadi (PCA), yang dapat Anda gunakan untuk mengeluarkan sertifikat yang, di antara fungsi-fungsi lainnya, memungkinkan komunikasi yang aman melalui saluran komunikasi yang aman. AWS Private Certificate Authority (Private CA) adalah layanan yang tersedia yang melakukan fungsi ini. Untuk informasi selengkapnya, lihat Membuat CA pribadi di Panduan AWS Private Certificate Authority Pengguna. Pada langkah selanjutnya, Anda mengeluarkan sertifikat dan melampirkannya ke MSK klaster Amazon Anda untuk mengaktifkan komunikasi terenkripsi ke Redshift.

  2. Buat MSK klaster Amazon yang mendukung otentikasi klien mtls. Untuk informasi selengkapnya tentang mengonfigurasi MSK klaster Amazon, lihat Untuk membuat klaster yang mendukung otentikasi klien di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

  3. Edit pengaturan keamanan untuk MSK klaster Amazon, aktifkan otentikasi TLS klien menggunakan AWS Certificate Manager (ACM) dan memilih AWS Private CA (PCA) yang Anda buat sebelumnya. Untuk informasi selengkapnya, lihat Memperbarui setelan keamanan klaster di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

Menggunakan m TLS untuk streaming konsumsi dengan AWS Certificate Manager

Prosedur berikut menunjukkan cara mengonfigurasi m TLS untuk konsumsi streaming Redshift dengan memanfaatkan AWS Certificate Manager (ACM) untuk penyimpanan dan pengelolaan sertifikat:

  1. Minta sertifikat pribadi melaluiACM. Ketika Anda melakukan ini, pilih yang PCA Anda buat di bagian Prasyarat sebagai otoritas sertifikat. ACMmenyimpan sertifikat yang ditandatangani dan kunci pribadi terlampir untuk komunikasi yang aman. Untuk informasi selengkapnya tentang mengelola sertifikat denganACM, lihat Menerbitkan dan mengelola sertifikat di Panduan AWS Certificate Manager Pengguna.

  2. Untuk IAM peran yang Anda gunakan untuk mengelola klaster Redshift atau grup kerja Amazon Redshift Tanpa Server, lampirkan izin untuk mengekspor sertifikat, yaitu acm:. ExportCertificate Untuk informasi selengkapnya tentang menyiapkan IAM sumber daya yang diperlukan untuk streaming konsumsi dengan AmazonMSK, lihat. Menyiapkan IAM izin dan melakukan konsumsi streaming dari Kafka Tentukan IAM peran yang sama di langkah berikutnya untuk membuat skema eksternal.

  3. Dapatkan broker bootstrap URI untuk MSK cluster Amazon. Mendapatkan broker bootstrap URI dirinci dalam Mendapatkan broker bootstrap untuk MSK cluster Amazon di Amazon Managed Streaming for Apache Kafka Developer Guide.

  4. Jalankan SQL perintah seperti contoh berikut untuk membuat skema eksternal yang memetakan aliran dari MSK klaster Amazon ke skema eksternal Redshift, menggunakan. mtls

    CREATE EXTERNAL SCHEMA my_schema
FROM MSK
IAM_ROLE 'arn:aws:iam::012345678901:role/my_role'
AUTHENTICATION mtls
URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094'
AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';

    Parameter penting:

    • IAM_ ROLE — IAM Peran yang terkait dengan cluster, untuk streaming konsumsi.

    • URI— Broker bootstrap URI untuk MSK cluster Amazon. Perhatikan bahwa port 9094 ditentukan untuk berkomunikasi dengan broker untuk TLS enkripsi.

    • AUTHENTICATION_ ARN — ACM Sertifikat. ARN ARNIni tersedia di ACM konsol ketika Anda memilih sertifikat yang dikeluarkan.

Setelah melakukan langkah-langkah konfigurasi ini, Anda dapat membuat tampilan terwujud Redshift yang mereferensikan skema yang ditentukan dalam sampel dan kemudian menggunakannya REFRESH MATERIALIZED VIEW untuk mengalirkan data. Ini dirinci dalam langkah-langkah memulai streaming dari Amazon MSK di Memulai dengan konsumsi streaming dari Amazon Managed Streaming for Apache Kafka (). MSK

Menggunakan m TLS untuk streaming konsumsi dengan AWS Secrets Manager

Anda dapat mengonfigurasi m TLS untuk konsumsi streaming Redshift dengan memanfaatkan AWS Secrets Manager manajemen sertifikat, jika Anda tidak ingin mereferensikan sertifikat. ACM Langkah-langkah berikut menjelaskan cara mengkonfigurasinya.

  1. Buat permintaan penandatanganan sertifikat dan kunci pribadi dengan alat pilihan Anda. Kemudian Anda dapat menggunakan permintaan penandatanganan untuk menghasilkan sertifikat yang ditandatangani, menggunakan AWS Private CA (PCA) yang sama dengan yang Anda gunakan untuk menghasilkan sertifikat untuk MSK klaster Amazon. Untuk informasi selengkapnya tentang menerbitkan sertifikat, lihat IssueCertificatedi AWS Private Certificate Authority APIReferensi.

  2. Ekstrak sertifikat menggunakan AWS Private Certificate Authority. Untuk informasi selengkapnya, lihat Mengambil sertifikat pribadi> di Panduan Pengguna.AWS Private Certificate Authority

  3. Simpan sertifikat dan kunci pribadi yang dihasilkan pada langkah sebelumnya di AWS Secrets Manager. Pilih Other type of secret dan gunakan format plaintext. Pasangan kunci-nilai harus dalam format{"certificate":"<cert value>","privateKey":"<pkey value>"}, seperti pada contoh berikut. Untuk informasi selengkapnya tentang membuat dan mengelola rahasia AWS Secrets Manager, lihat Membuat dan mengelola rahasia dengan AWS Secrets Manager di Panduan AWS Secrets Manager Pengguna.

    {"certificate":"-----BEGIN CERTIFICATE-----
klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi 
H4hAX8/eE96qCcjkpfT84EdvHzp6fC+/WwM0oXlwUEWlvfMCXNaG5D8SqRq3qA==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi 
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
-----END CERTIFICATE-----",
"privateKey":"-----BEGIN PRIVATE KEY-----
klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi
7OD4m1dBEs3Fj++hDMH9rYRp99RqtCOf0EWOUe139KOilOsW+cyhAoc9Ci2+Jo/k
17u2N1iGILMQEZuCRtnJOkFYkw==
-----END PRIVATE KEY-----"}

  4. Di Redshift, jalankan SQL perintah untuk membuat skema eksternal. Anda menggunakan AUTHENTICATION tipenyamtls. Anda juga menentukan URI MSK cluster Amazon dan rahasianya ARN di AWS Secrets Manager.

    CREATE EXTERNAL SCHEMA my_schema
FROM MSK
IAM_ROLE 'arn:aws:iam::012345678901:role/my_role'
AUTHENTICATION mtls
URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094'
SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';

Parameter penting:

  • IAM_ ROLE — IAM Peran yang terkait dengan cluster, untuk streaming konsumsi.

  • URI— Broker bootstrap URI untuk MSK cluster Amazon. Perhatikan bahwa port 9094 ditentukan untuk berkomunikasi dengan broker untuk TLS enkripsi.

  • SECRET_ ARN — Rahasia ARN dari Secrets Manager, berisi sertifikat yang akan digunakan untuk mTLS.

Mengaktifkan TLS otentikasi m untuk skema eksternal yang ada

Jika Anda memiliki skema eksternal yang ada yang Anda gunakan untuk streaming konsumsi dan Anda ingin menerapkan mutual TLS untuk otentikasi, Anda dapat menjalankan perintah seperti berikut ini, yang menentukan TLS otentikasi m dan sertifikat di. ACM ARN ACM

ALTER EXTERNAL SCHEMA schema_name 
AUTHENTICATION mtls
AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';

Atau Anda dapat menentukan TLS otentikasi m, dengan mengacu pada rahasia ARN di AWS Secrets Manager.

ALTER EXTERNAL SCHEMA schema_name 
AUTHENTICATION mtls
SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';