全部产品
Search

搜索本产品

    ApsaraMQ for Kafka:Gunakan fitur ACL untuk kontrol akses

    文档中心

    ApsaraMQ for Kafka:Gunakan fitur ACL untuk kontrol akses

    更新时间:Nov 11, 2025

    Anda dapat menggunakan fitur daftar kontrol akses (ACL) pada instans ApsaraMQ for Kafka Edisi Professional atau Serverless untuk memberikan izin berbeda kepada berbagai pengguna atau kelompok pengguna. Fitur ini memungkinkan Anda memberikan izin kepada pengguna Simple Authentication and Security Layer (SASL) terhadap sumber daya seperti topik dan kelompok konsumen guna mencapai pengelolaan izin detail halus.

    Informasi latar belakang

    Perusahaan A membeli ApsaraMQ for Kafka dan ingin mengonfigurasi izin agar Pengguna A dapat mengonsumsi pesan dari semua topik ApsaraMQ for Kafka, tetapi tidak dapat memproduksi pesan ke topik ApsaraMQ for Kafka mana pun.

    Catatan penggunaan

    • ApsaraMQ for Kafka menyediakan pengguna SASL default untuk instans yang dapat diakses melalui internet atau VPC. Pengguna SASL default hanya digunakan untuk verifikasi identitas dan memiliki izin baca serta tulis untuk semua topik dan kelompok. Untuk kontrol izin yang lebih rinci, Anda harus mengaktifkan ACL. Setelah ACL diaktifkan, Anda harus membuat pengguna SASL kustom dan memberikan izin yang diperlukan untuk mengirim dan menerima pesan di ApsaraMQ for Kafka. Izin pengguna SASL default menjadi tidak berlaku setelah ACL diaktifkan.

    • Setelah ACL diaktifkan, Anda tidak dapat membuat topik secara otomatis dengan mengirim pesan.

    Prasyarat

    Instans ApsaraMQ for Kafka Anda harus memenuhi persyaratan berikut:

    • Instans merupakan Professional atau Serverless Edition.

    • Instans berada dalam status Running.

    • Versi utama adalah 2.2.0 atau lebih baru. Untuk informasi selengkapnya tentang cara meningkatkan versi utama instans, lihat Peningkatan versi.

    • Versi minor adalah versi terbaru. Untuk informasi selengkapnya tentang cara meningkatkan versi minor instans, lihat Peningkatan versi instans.

    Langkah 1: Aktifkan ACL

    Setelah Anda meningkatkan versi minor instans, aktifkan ACL untuk instans tersebut di Konsol ApsaraMQ for Kafka.

    1. Masuk ke Konsol ApsaraMQ for Kafka.

    2. Di bagian Resource Distribution pada halaman Overview, pilih wilayah tempat instans ApsaraMQ for Kafka yang ingin Anda kelola berada.

    3. Pada halaman Instances, klik nama instans yang ingin Anda kelola.

    4. Pada halaman Instance Details, klik Enable ACL di pojok kanan atas bagian Overview.

    5. Di kotak dialog Note, klik Confirm, lalu segarkan ulang halaman secara manual.

      Setelah halaman disegarkan ulang secara manual, Status di bagian Basic Information pada halaman Instance Details berubah menjadi Upgrading. Fitur ACL diaktifkan setelah status instans Status berubah menjadi Running.

      Penting

      Peningkatan memerlukan waktu sekitar 15 hingga 20 menit. Setelah peningkatan selesai, ACL diaktifkan untuk instans tersebut. Anda kemudian dapat membuat pengguna SASL, memberikan izin kepada mereka, dan mengakses instans menggunakan titik akhir SASL.

    Langkah 2: Buat pengguna SASL

    Setelah ACL diaktifkan untuk instans tersebut, buat pengguna SASL untuk Pengguna A.

    1. Masuk ke Konsol ApsaraMQ for Kafka.

    2. Di bagian Resource Distribution pada halaman Overview, pilih wilayah tempat instans ApsaraMQ for Kafka yang ingin Anda kelola berada.

    3. Pada halaman Instances, pilih instans yang telah Anda aktifkan ACL-nya.

    4. Pada halaman Instance Details, klik tab Manage SASL Users. Untuk instans Serverless, di panel navigasi sebelah kiri, pilih Permission Management > SASL User Management.

    5. Pada halaman Manage SASL Users, klik Create SASL User.

    6. Di panel Create SASL User, konfigurasikan parameter untuk pengguna SASL tersebut, lalu klik OK.

      Parameter

      Deskripsi

      Username

      Nama pengguna SASL.

      User Type

      ApsaraMQ for Kafka mendukung mekanisme SASL berikut:

      • PLAIN: Mekanisme verifikasi nama pengguna dan kata sandi sederhana. ApsaraMQ for Kafka mengoptimalkan mekanisme PLAIN untuk mendukung pembuatan pengguna SASL secara dinamis tanpa perlu me-restart instans.

      • SCRAM: Mekanisme verifikasi nama pengguna dan kata sandi yang lebih aman daripada PLAIN. Instans ApsaraMQ for Kafka non-Serverless menggunakan SCRAM-SHA-256. Instans Serverless mendukung SCRAM-SHA-512, yang merupakan konfigurasi SCRAM default.

      Password

      Kata sandi untuk pengguna SASL.

      Confirm Password

      Masukkan kembali kata sandi untuk pengguna SASL.

      Setelah pengguna dibuat, pengguna SASL baru akan muncul di tab Manage SASL Users.

      • Untuk mengubah kata sandi pengguna SASL, klik Change Password di kolom Actions. Di panel Change SASL User Password, atur parameter New Password dan Confirm Password, lalu klik OK.

      • Untuk menghapus pengguna SASL, klik Delete di kolom Actions.

    Langkah 3: Berikan izin kepada pengguna SASL

    Setelah membuat pengguna SASL untuk Pengguna A, berikan izin kepada pengguna tersebut untuk membaca pesan dari topik dan kelompok konsumen.

    1. Pada halaman Instance Details, klik tab Manage SASL User Permissions.

    2. Pada tab Manage SASL User Permissions, klik Grant Permission.

    3. Di panel Grant Permission, konfigurasikan parameter berikut, lalu klik OK.

      Parameter

      Deskripsi

      Username

      Nama pengguna SASL. ApsaraMQ for Kafka mendukung penggunaan tanda bintang (*) sebagai karakter wildcard untuk merepresentasikan semua nama pengguna.

      Resource Type

      ApsaraMQ for Kafka mendukung pemberian izin pada jenis sumber daya berikut:

      • Topic: Topik.

      • Group: Kelompok konsumen.

      • Cluster: Instans.

      • TransactionalId: ID transaksi.

      Match Mode

      ApsaraMQ for Kafka mendukung pola pencocokan berikut:

      • Exact Match: Hanya mencocokkan sumber daya dengan nama yang persis sama.

      • Prefix Match: Mencocokkan sumber daya apa pun yang namanya dimulai dengan awalan yang ditentukan.

      Resource Name

      Nama topik, kelompok, atau kluster, atau ID transaksi. ApsaraMQ for Kafka mendukung penggunaan tanda bintang (*) sebagai karakter wildcard untuk merepresentasikan semua nama sumber daya.

      Operation Type

      ApsaraMQ for Kafka mendukung jenis operasi berikut:

      • Write

      • Read

      • Idempotent Write Operation

      Penting

      • Untuk jenis sumber daya Group, hanya operasi Read yang didukung.

      • Untuk jenis sumber daya Cluster, hanya operasi Idempotent Write Operation yang didukung.

      Parameter untuk instans Serverless

      Parameter

      Deskripsi

      Username

      Nama pengguna SASL. ApsaraMQ for Kafka mendukung penggunaan tanda bintang (*) sebagai karakter wildcard untuk merepresentasikan semua nama pengguna.

      Resource Type

      ApsaraMQ for Kafka mendukung pemberian izin pada jenis sumber daya berikut:

      • Topic: Topik.

      • Group: Kelompok konsumen.

      • Cluster: Instans.

      • TransactionalId: ID transaksi.

      Match Mode

      ApsaraMQ for Kafka mendukung pola pencocokan berikut:

      • Exact Match: Hanya mencocokkan sumber daya dengan nama yang persis sama.

      • Prefix Match: Mencocokkan sumber daya apa pun yang namanya dimulai dengan awalan yang ditentukan.

      Resource Name

      Nama topik, kelompok, atau kluster, atau ID transaksi. ApsaraMQ for Kafka mendukung penggunaan tanda bintang (*) sebagai karakter wildcard untuk merepresentasikan semua nama sumber daya.

      Source IP

      Alamat IP sumber dari mana akses diizinkan atau diblokir.

      Authorization Method

      • ALLOW: Mengizinkan akses.

      • DENY: Menolak akses.

      Operation Type

      ApsaraMQ for Kafka mendukung jenis operasi berikut:

      • WRITE: Tulis

      • READ: Baca

      • CREATE: Buat

      • DELETE: Hapus

      • DESCRIBE: Tampilkan metadata dan informasi offset.

      • DESCRIBE_CONFIGS: Tampilkan informasi konfigurasi.

      • IDEMPOTENT_WRITE: Penulisan idempoten.

      Penting

      • Untuk klien versi 3.0 atau lebih baru, tulis idempoten diaktifkan secara default. Anda harus mengatur enable.idempotence=true dan menambahkan izin IDEMPOTENT_WRITE untuk mengirim pesan.

      • Saat Anda memberikan izin WRITE, READ, DELETE, atau ALTER, izin DESCRIBE diberikan secara default.

      • Untuk jenis sumber daya Cluster, hanya operasi IDEMPOTENT_WRITE yang didukung.

      Setelah konfigurasi selesai, izin pengguna yang dibuat akan ditampilkan di tab Manage SASL User Permissions. Untuk menemukan izin tertentu, Anda dapat mengatur parameter seperti Resource Type, Match Mode, Resource Name, dan Username, lalu klik Search.

    Operasi terkait

    • Setelah otorisasi diberikan, Pengguna A dapat menggunakan titik akhir SASL untuk mengakses instans ApsaraMQ for Kafka dan mengonsumsi pesan menggunakan mekanisme PLAIN. Untuk informasi selengkapnya tentang cara menggunakan SDK untuk mengakses instans, lihat Ikhtisar SDK.

    • Untuk memberikan izin kepada pengguna SASL menggunakan operasi API, lihat Buat pengguna SASL dan Buat ACL.

    • Untuk informasi selengkapnya tentang titik akhir SASL, lihat Bandingkan titik akhir.