我希望能够验证/授权客户端生成/使用特定主题的消息。他们将是我们的vpn(包括aws)的一部分。据我所知,现有的文件唯一的选择是这样做是颁发客户端证书和设置ACL的基础上客户端dns?不幸的是,我不能使用我的私有ca(我在linux笔记本上创建的)来创建客户端证书。因此产生了以下问题:
我需要设置aws托管ca(acm pca)是正确的吗。这将导致几乎两倍的安装成本,包括最低的代理配置。
我可以通过confluent的“kafka rest proxy”之类的东西将外部世界代理到msk集群中-对吗?
我错过什么了吗?有没有一个更简单的方法内置到aws中?
请启发我:)
提前谢谢,马塞尔
3条答案
按热度按时间cidc1ykv1#
对用户名和密码安全的支持看起来像你想要的?我觉得是新的。。
pkmbmrz72#
有一种你可能想试试的白兰地https://aws.amazon.com/cognito/
fumotvh33#
是的,我相信这是正确的。要通过tls进行客户端身份验证,您需要提供在创建集群时使用aws pcm设置的专用ca的arn,并且必须使用aws命令行工具(
aws kafka create-cluster ...)创建群集。ui(上次我查看时)没有任何地方可以指定arn。我不知道-我们咬牙切齿和acm建立了一个私人ca。
不。我们希望最终aws将集成iam,这样您就可以作为iam用户而不是客户端证书进行身份验证,但这并不是今天的情况。现在,它是仅用于身份验证的客户端证书。