本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 Amazon MSK 叢集的 SASL/SCRAM 身分驗證 若要在 AWS Secrets Manager 中設定秘密,請遵循 [AWS Secrets Manager 使用者指南](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)中的[建立和擷取](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_basic.html)秘密教學課程。 為 Amazon MSK 叢集建立秘密時,請注意以下要求: + 針對秘密類型,選擇**其他秘密類型 (如 API 金鑰)**。 + 您的秘密名稱必須以 **Amazon MSK\_** 字首開頭。 + 您必須使用現有的自訂 AWS KMS 金鑰或為您的秘密建立新的自訂 AWS KMS 金鑰。Secrets Manager 預設會使用秘密的預設 AWS KMS 金鑰。 **重要** 使用預設 AWS KMS 金鑰建立的秘密無法與 Amazon MSK 叢集搭配使用。 + 您的登入憑證資料必須採用下列格式,才能使用**純文字**選項輸入鍵值對。 ``` { "username": "alice", "password": "alice-secret" } ``` + 記錄秘密的 ARN (Amazon Resource Name) 值。 + **重要** 您無法將 Secret Manager 秘密與超過 [正確調整叢集大小:每個標準代理程式的分割區數量](bestpractices.md#partitions-per-broker) 中所述限制的叢集建立關聯。 + 如果您使用 AWS CLI 建立秘密,請指定 `kms-key-id` 參數的金鑰 ID 或 ARN。請勿指定別名。 + 若要將秘密與叢集建立關聯,請使用 Amazon MSK 主控台或 [BatchAssociateScramSecret](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-scram-secrets.html#BatchAssociateScramSecret) 操作。 **重要** 將秘密與叢集建立關聯後,Amazon MSK 會將資源政策連接至秘密,以便叢集能夠存取和讀取您定義的秘密值。您不應該修改此資源政策。這樣做可以防止您的叢集存取您的秘密。如果您對 Secrets 資源政策和/或用於秘密加密的 KMS 金鑰進行任何變更,請務必重新建立秘密與 MSK 叢集的關聯。這將確保您的叢集可以繼續存取您的秘密。 下列範例中的 `BatchAssociateScramSecret` 操作 JSON 輸入會將秘密與叢集建立關聯: ``` { "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4", "secretArnList": [ "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret" ] } ```