本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立支援用戶端身分驗證的 Amazon MSK 叢集 此程序說明如何使用 啟用用戶端身分驗證 AWS 私有 CA。 **注意** 當您使用交互 AWS 私有 CA TLS 控制存取時,強烈建議為每個 MSK 叢集使用獨立 。這樣做可確保由 PCA 簽署的 TLS 憑證僅透過單一 MSK 叢集進行身分驗證。 1. 使用下列內容建立名為 `clientauthinfo.json` 的檔案。將 *Private-CA-ARN* 取代為您 PCA 的 ARN。 ``` { "Tls": { "CertificateAuthorityArnList": ["Private-CA-ARN"] } } ``` 1. 建立名為 `brokernodegroupinfo.json` 的檔案,如 [使用 建立佈建的 Amazon MSK 叢集 AWS CLI](create-cluster-cli.md) 中所說明。 1. 用戶端身分驗證要求您也啟用用戶端和代理程式之間的傳輸中加密。使用下列內容建立名為 `encryptioninfo.json` 的檔案。將 *KMS-Key-ARN* 取代為您 KMS 金鑰的 ARN。您可以設定 `ClientBroker` 為 `TLS` 或 `TLS_PLAINTEXT`。 ``` { "EncryptionAtRest": { "DataVolumeKMSKeyId": "KMS-Key-ARN" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } } ``` 如需加密的詳細資訊,請參閱 [Amazon MSK 加密](msk-encryption.md)。 1. 在 AWS CLI 已安裝 的機器上,執行下列命令來建立啟用身分驗證和傳輸中加密的叢集。儲存回應中提供的叢集 ARN。 ``` aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3 ```