開始使用 Amazon MSK加密

建立MSK叢集時，您可以指定 JSON 格式的加密設定。以下是範例。

{
   "EncryptionAtRest": {
       "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/abcdabcd-1234-abcd-1234-abcd123e8e8e"
    },
   "EncryptionInTransit": {
        "InCluster": true,
        "ClientBroker": "TLS"
    }
}

對於 DataVolumeKMSKeyId，您可以在帳戶中指定客戶受管金鑰或 AWS 受管金鑰 MSK的 （alias/aws/kafka）。如果您未指定 EncryptionAtRest，Amazon MSK仍會在 下加密靜態資料 AWS 受管金鑰。若要判斷叢集正在使用的金鑰，請傳送GET請求或叫用 DescribeClusterAPI操作。

對於 EncryptionInTransit，預設值InCluster為 true，但如果您不想要 Amazon 在代理程式之間傳輸資料時MSK加密資料，您可以將其設定為 false。

若要指定用戶端與代理程式之間傳輸資料的加密模式，請將 ClientBroker 設定為下列三個值之一：TLS、TLS_PLAINTEXT、或 PLAINTEXT。