本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更新 Amazon MSK 集群的安全设置
<a name="msk-update-security"></a>

使用 [UpdateSecurity](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity)Amazon MSK 操作更新 MSK 集群的身份验证和客户端代理加密设置。您还可以更新用于签署证书以进行双向 TLS 身份验证的私有安全证书颁发机构。您无法更改集群内 (broker-to-broker) 加密设置。

集群必须处于 `ACTIVE` 状态才能更新安全设置。

如果启用使用 IAM、SASL 或 TLS 的身份验证，您还必须开启客户端和代理之间的加密。下表显示了可能的组合。


****  

| 身份验证 | 客户端到代理加密选项 | 代理到代理加密 | 
| --- | --- | --- | 
| 无身份验证 | TLS、PLAINTEXT、TLS\$1PLAINTEXT | 可以开启或关闭。 | 
| mTLS | TLS、TLS\$1PLAINTEX | 必须打开。 | 
| SASL/SCRAM | TLS | 必须打开。 | 
| SASL/IAM | TLS | 必须打开。 | 

当客户端到代理加密设置为 `TLS_PLAINTEXT`，且客户端到身份验证设置为 `mTLS` 时，Amazon MSK 会创建两种类型的侦听器供客户端连接：一种是供客户端在使用 mTLS 身份验证和 TLS 加密的情况下进行连接，另一种是供客户端在不使用身份验证或加密的情况下进行连接（明文）。

有关安全设置的更多信息，请参阅[Amazon MSK 中的安全性](security.md)。