Apache Kafka ACLs

Apache Kafka verfügt über einen austauschbaren Authorizer und wird mit einer Authorizer-Implementierung ausgeliefert. out-of-box Amazon MSK aktiviert diesen Autorisierer in der Datei server.properties auf den Brokern.

Apache Kafka-ACLs haben das Format „Principal P ist [Allowed/Denied] Operation O From Host H on any Resource R matching RP“. ResourcePattern Wenn RP nicht mit einer bestimmten Ressource „R“ übereinstimmt, hat „R“ keine zugeordneten ACLs, weshalb ausschließlich Superuser auf „R“ zugreifen dürfen. Um dieses Verhalten von Apache Kafka zu ändern, legen Sie die Eigenschaft allow.everyone.if.no.acl.found auf „true“ fest. Amazon MSK setzt es standardmäßig auf true. Dies bedeutet, dass bei Amazon MSK-Clustern, sofern Sie nicht explizit ACLs für eine Ressource festlegen, alle Prinzipale auf diese Ressource zugreifen können. Wenn Sie ACLs für eine Ressource aktivieren, können nur die autorisierten Prinzipale darauf zugreifen. Wenn Sie den Zugriff auf ein Thema einschränken und einen Client mithilfe der gegenseitigen TLS-Authentifizierung autorisieren möchten, fügen Sie ACLs mit der Apache Kafka-Autorisierungs-CLI hinzu. Weitere Informationen zum Hinzufügen, Entfernen und Auflisten von ACLs finden Sie unter Kafka Authorization Command Line Interface.

Zusätzlich zum Client müssen Sie allen Brokern Zugriff auf Ihre Themen gewähren, damit die Broker Nachrichten von der primären Partition replizieren können. Wenn die Broker keinen Zugriff auf ein Thema haben, schlägt die Replikation für das Thema fehl.

Hinzufügen oder Entfernen von Lese- und Schreibzugriff für ein Thema

1. Fügen Sie die Broker der ACL-Tabelle hinzu, damit sie aus allen Themen lesen können, in denen ACLs vorhanden sind. Um Ihren Brokern Lesezugriff auf ein Thema zu gewähren, führen Sie den folgenden Befehl auf einem Client-Computer aus, der mit dem MSK-Cluster kommunizieren kann.

   Ersetzen Sie Distinguished-Name durch den DNS eines Bootstrap-Brokers Ihres Clusters und ersetzen Sie dann die Zeichenfolge vor dem ersten Punkt in diesem Distinguished Name durch ein Sternchen (*). Wenn z. B. einer der Bootstrap-Broker Ihres Clusters über den DNS b-6.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com verfügt, ersetzen Sie Distinguished-Name im folgenden Befehl durch *.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com. Informationen zum Abrufen der Bootstrap-Broker finden Sie unter Abrufen der Bootstrap-Broker für einen Amazon-MSK-Cluster.

   <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Read --group=* --topic Topic-Name

2. Zum Gewähren von Lesezugriff auf ein Thema führen Sie den folgenden Befehl auf Ihrem Client-Computer aus. Wenn Sie gegenseitige TLS-Authentifizierung benutzen, verwenden Sie denselben Distinguished-Name, den Sie beim Erstellen des privaten Schlüssels verwendet haben.

   <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Read --group=* --topic Topic-Name

   Zum Entfernen des Lesezugriffs können Sie denselben Befehl ausführen und --add durch --remove ersetzen.

3. Zum Gewähren von Schreibzugriff auf ein Thema führen Sie den folgenden Befehl auf Ihrem Client-Computer aus. Wenn Sie gegenseitige TLS-Authentifizierung benutzen, verwenden Sie denselben Distinguished-Name, den Sie beim Erstellen des privaten Schlüssels verwendet haben.

   <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Write --topic Topic-Name

   Zum Entfernen des Schreibzugriffs können Sie denselben Befehl ausführen und --add durch --remove ersetzen.