Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Apache Kafka ACLs
Apache Kafka hat einen austauschbaren Authorizer und wird mit einer Authorizer-Implementierung geliefert. out-of-box Amazon MSK aktiviert diesen Autorisierer in der server.properties
Datei auf den Brokern.
Apache Kafka ACLs haben das Format „Principal P ist [erlaubt/verweigert] Operation O von Host H auf einer beliebigen Ressource R, die RP entspricht“. ResourcePattern Wenn RP nicht mit einer bestimmten Ressource R übereinstimmt, hat R keine zugehörige RessourceACLs, und daher darf niemand außer Superusern auf R zugreifen. Um dieses Verhalten von Apache Kafka zu ändern, setzen Sie die Eigenschaft allow.everyone.if.no.acl.found
auf true. Amazon MSK setzt es standardmäßig auf true. Das bedeutet, dass bei MSK Amazon-Clustern alle Principals ACLs auf diese Ressource zugreifen können, wenn Sie nicht explizit eine Ressource festlegen. Wenn Sie eine Ressource aktivierenACLs, können nur autorisierte Prinzipale darauf zugreifen. Wenn Sie den Zugriff auf ein Thema einschränken und einen Client mithilfe der TLS gegenseitigen Authentifizierung autorisieren möchten, fügen Sie dies ACLs mithilfe des Apache Kafka-Autorisierers hinzu. CLI Weitere Informationen zum Hinzufügen, Entfernen und Auflisten ACLs finden Sie unter Kafka Authorization
Zusätzlich zum Client müssen Sie allen Brokern Zugriff auf Ihre Themen gewähren, damit die Broker Nachrichten von der primären Partition replizieren können. Wenn die Broker keinen Zugriff auf ein Thema haben, schlägt die Replikation für das Thema fehl.
Hinzufügen oder Entfernen von Lese- und Schreibzugriff für ein Thema
-
Fügen Sie Ihre Makler zur ACL Tabelle hinzu, damit sie aus allen vorhandenen Themen lesen können. ACLs Um Ihren Brokern Lesezugriff auf ein Thema zu gewähren, führen Sie den folgenden Befehl auf einem Client-Computer aus, der mit dem MSK Cluster kommunizieren kann.
Ersetzen
Distinguished-Name
mit einem DNS der Bootstrap-Broker Ihres Clusters und ersetzen Sie dann die Zeichenfolge vor dem ersten Punkt in diesem eindeutigen Namen durch ein Sternchen ()*
. Wenn beispielsweise einer der Bootstrap-Broker Ihres Clusters das hat, ersetzen Sie DNSb-6.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com
Distinguished-Name
im folgenden Befehl mit*.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com
. Informationen zum Abrufen der Bootstrap-Broker finden Sie unter Die Bootstrap-Broker für einen Amazon-Cluster abrufen MSK.<path-to-your-kafka-installation>
/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name
" --operation Read --group=* --topicTopic-Name
-
Zum Gewähren von Lesezugriff auf ein Thema führen Sie den folgenden Befehl auf Ihrem Client-Computer aus. Wenn Sie die gegenseitige TLS Authentifizierung verwenden, verwenden Sie dieselbe
Distinguished-Name
den Sie bei der Erstellung des privaten Schlüssels verwendet haben.<path-to-your-kafka-installation>
/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name
" --operation Read --group=* --topicTopic-Name
Zum Entfernen des Lesezugriffs können Sie denselben Befehl ausführen und
--add
durch--remove
ersetzen. -
Zum Gewähren von Schreibzugriff auf ein Thema führen Sie den folgenden Befehl auf Ihrem Client-Computer aus. Wenn Sie die gegenseitige TLS Authentifizierung verwenden, verwenden Sie dieselbe
Distinguished-Name
den Sie bei der Erstellung des privaten Schlüssels verwendet haben.<path-to-your-kafka-installation>
/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name
" --operation Write --topicTopic-Name
Zum Entfernen des Schreibzugriffs können Sie denselben Befehl ausführen und
--add
durch--remove
ersetzen.