4.7.3. ACL ルールの追加
AclAuthorizer アクセス制御リスト(ACL)を使用します。これは、ユーザーがどのユーザーが実行できるかを記述する一連のルールを定義します。
この手順では、Kafka ブローカーで AclAuthorizer プラグインの使用時に ACL ルールを追加する方法を説明します。
ルールは kafka-acls.sh ユーティリティーを使用して追加され、ZooKeeper に保存されます。
前提条件
- AMQ Streams は、Kafka ブローカーとして使用されるすべてのホストにインストール されます。
- 承認は Kafka ブローカーで 有効 になります。
手順
--addオプションを指定してkafka-acls.shを実行します。例:
MyConsumerGroupコンシューマーグループを使用してuser1およびuser2アクセスがmyTopicから読み取りできるようにします。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Read --topic myTopic --allow-principal User:user1 --allow-principal User:user2 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Describe --topic myTopic --allow-principal User:user1 --allow-principal User:user2 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Read --operation Describe --group MyConsumerGroup --allow-principal User:user1 --allow-principal User:user2
IP アドレス
127.0.0.1からmyTopicを読み取るuser1アクセスを拒否します。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Describe --operation Read --topic myTopic --group MyConsumerGroup --deny-principal User:user1 --deny-host 127.0.0.1
MyConsumerGroupを使用してmyTopicのコンシューマーとしてuser1を追加します。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --consumer --topic myTopic --group MyConsumerGroup --allow-principal User:user1
関連情報
-
すべての
kafka-acls.shオプションの一覧は、「シンプル ACL オーソライザー」 を参照してください。
