翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# クライアント認証をサポートする Amazon MSK クラスターを作成します。
<a name="msk-authentication-cluster"></a>

この手順では、 を使用してクライアント認証を有効にする方法を示します AWS Private CA。
**注記**  
相互 TLS を使用してアクセスを制御する場合は AWS Private CA 、MSK クラスターごとに独立した を使用することを強くお勧めします。そうすることで、PCA によって署名された TLS 証明書が単一の MSK クラスターでのみ認証されるようになります。

1. 次の内容で、`clientauthinfo.json` という名前のファイルを作成します。*Private-CA-ARN* を PCA の ARN に置き換えます。

   ```
   {
      "Tls": {
          "CertificateAuthorityArnList": ["Private-CA-ARN"]
       }
   }
   ```

1. [を使用してプロビジョニングされた Amazon MSK クラスターを作成する AWS CLI](create-cluster-cli.md) の説明に従って、`brokernodegroupinfo.json` という名前のファイルを作成します。

1. クライアント認証では、クライアントとブローカー間の転送中に暗号化を有効にする必要があります。次の内容で、`encryptioninfo.json` という名前のファイルを作成します。*KMS-Key-ARN* を KMS キーの ARN と置き換えます。`ClientBroker` を `TLS` または `TLS_PLAINTEXT` に設定できます。

   ```
   {
      "EncryptionAtRest": {
          "DataVolumeKMSKeyId": "KMS-Key-ARN"
       },
      "EncryptionInTransit": {
           "InCluster": true,
           "ClientBroker": "TLS"
       }
   }
   ```

   暗号化の詳細については、「[Amazon MSK 暗号化](msk-encryption.md)」を参照してください。

1.  AWS CLI がインストールされているマシンで、次のコマンドを実行して、認証と転送中の暗号化が有効になっているクラスターを作成します。レスポンスで提供されるクラスター ARN を保存します。

   ```
   aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3
   ```