本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 更新 Amazon MSK 叢集的安全設定 使用 [UpdateSecurity](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity) Amazon MSK 操作來更新 MSK 叢集的身分驗證和用戶端代理程式加密設定。您也可以更新用來簽署雙向 TLS 身分驗證憑證的私有安全性授權機構。您無法變更叢集內 (代理程式對代理程式) 加密設定。 叢集必須處於 `ACTIVE` 狀態,才能更新其安全設定。 如果您開啟使用 IAM、SASL 或 TLS 進行身分驗證,您也必須開啟用戶端和代理程式之間的加密。下表顯示可能的組合。 **** | 身分驗證 | 用戶端-代理程式加密選項 | 代理程式-代理程式加密 | | --- | --- | --- | | Unauthenticated | TLS、PLAINTEXT、TLS\$1PLAINTEXT | 可以開啟或關閉。 | | mTLS | TLS、TLS\$1PLAINTEXT | 必須為開啟。 | | SASL/SCRAM | TLS | 必須為開啟。 | | SASL/IAM | TLS | 必須為開啟。 | 如果用戶端-代理程式加密設定為 `TLS_PLAINTEXT` 且用戶端-身分驗證設定為 `mTLS`,Amazon MSK 會建立兩種類型的接聽程式以供用戶端連線:一個接聽程式供用戶端使用帶 TLS 加密的 mTLS 身分驗證進行連線,另一個接聽程式供用戶端在不使用身分驗證或加密 (純文字) 的情況下進行連線。 如需有關安全設定的詳細資訊,請參閱 [Amazon MSK 的安全性](security.md)。