ApsaraMQ for Kafka は、さまざまな接続要件とセキュリティ要件を満たすために、デフォルトエンドポイント、Secure Sockets Layer(SSL)エンドポイント、および Simple Authentication and Security Layer(SASL)エンドポイントを提供しています。デフォルトエンドポイントは、セキュリティ要件の高い仮想プライベートクラウド(VPC)でのメッセージングに適しています。SASL エンドポイントは、伝送暗号化は不要だがメッセージング認証が必要なシナリオに適しています。伝送リンクを暗号化し、メッセージングを認証する場合は、SSL エンドポイントを使用することをお勧めします。
用語
SASL メカニズムは、ApsaraMQ for Kafka によって身元認証に使用されます。次の SASL メカニズムが使用されます。
PLAIN:ユーザー名とパスワードの検証に使用される単純な認証メカニズム。ApsaraMQ for Kafka が提供する PLAIN メカニズムを使用すると、インスタンスを再起動せずに SASL ユーザーを動的に作成できます。
SCRAM:クライアントとブローカーで使用されるハッシュベースのユーザー名とパスワードの検証メカニズム。PLAIN メカニズムと比較して、SCRAM-SHA-256 暗号化アルゴリズムはより優れたセキュリティ保護を提供します。SCRAM-SHA-256 暗号化アルゴリズムでは、インスタンスを再起動せずに SASL ユーザーを動的に作成することもできます。
ApsaraMQ for Kafka は、データ転送中のデータ セキュリティを保護するために SSL 暗号化を実装しています。これにより、ネットワーク経由でデータが転送されているときのデータの傍受や盗聴を防ぎます。
背景情報
インターネット:インターネット経由で ApsaraMQ for Kafka インスタンスにアクセスする場合、メッセージは認証および暗号化されている必要があります。メッセージが暗号化されずにプレーンテキストで転送されないようにするには、SASL の PLAIN メカニズムを SSL と一緒に使用する必要があります。
VPC:VPC は分離されたネットワーク環境です。VPC 内の ApsaraMQ for Kafka インスタンスにアクセスする場合、メッセージは暗号化されずに PLAINTEXT プロトコルを使用してセキュア チャネルで転送できます。セキュリティ保護の要件が高い場合は、メッセージに対して SASL 身元認証を実行できます。その後、メッセージはセキュア チャネルで転送されます。セキュリティ保護のビジネス要件に基づいて、身元認証に PLAIN または SCRAM メカニズムを選択できます。
ApsaraMQ for Kafka インスタンスのデフォルト SASL ユーザーは、身元認証に使用されます。デフォルト SASL ユーザーには、インスタンスで作成されたすべてのトピックおよびコンシューマー グループからデータを読み取り、データを書き込む権限があります。きめ細かいアクセス制御を実行する場合は、アクセス制御リスト(ACL)機能を有効にし、SASL ユーザーを作成してから、ビジネス要件に基づいて ApsaraMQ for Kafka インスタンスでメッセージを送受信する権限を SASL ユーザーに付与します。ACL 機能を有効にすると、デフォルト SASL ユーザーに付与された権限は無効になります。詳細については、「SASL ユーザーに権限を付与する」をご参照ください。
インターネットおよび VPC 接続インスタンスのエンドポイント
インターネットおよび VPC 接続の ApsaraMQ for Kafka インスタンスには、インターネットおよび VPC 内でアクセスできます。インスタンスの SSL エンドポイント、デフォルト エンドポイント、または SASL エンドポイントを使用して、クライアントから ApsaraMQ for Kafka に接続できます。詳細については、「インターネットおよび VPC 接続インスタンスのエンドポイント間の比較」をご参照ください。
表 1. インターネットおよび VPC 接続インスタンスのエンドポイント間の比較
ネットワーク タイプ | ポート番号 | エンドポイント | プロトコル | シナリオ |
インターネット | 9093 | SSL エンドポイント | SASL_SSL | メッセージ転送中に暗号化が必要であり、メッセージの生成と消費中に身元認証が必要です。身元認証には次のメカニズムがサポートされています。
|
VPC | 9092 | デフォルト エンドポイント | PLAINTEXT | メッセージ転送中に暗号化は不要であり、メッセージの生成または消費中に身元認証は不要です。 |
9094 | SASL エンドポイント | SASL_PLAINTEXT | メッセージ転送中に暗号化は不要ですが、メッセージの生成と消費中に身元認証が必要です。身元認証には次のメカニズムがサポートされています。
| |
9095 | SSL エンドポイント | SASL_SSL | メッセージ転送中に暗号化が必要であり、メッセージの生成と消費中に身元認証が必要です。身元認証には次のメカニズムがサポートされています。
|
デプロイ中にインスタンスの ACL を有効にすると、システムはポート 9094 の SASL エンドポイントを有効にします。VPC 伝送暗号化を有効にすると、システムはポート 9095 の SSL エンドポイントを有効にします。詳細については、「手順 3:インスタンスをデプロイする」をご参照ください。
デプロイ済みインスタンスの ACL を有効にすると、システムはポート 9094 の SASL エンドポイントとポート 9095 の SSL エンドポイントを同時に有効にします。詳細については、「ACL を有効にする」をご参照ください。
VPC 接続インスタンスのエンドポイント
VPC 接続の ApsaraMQ for Kafka インスタンスには、VPC 内でのみアクセスできます。デフォルト エンドポイント、SASL エンドポイント、または SSL エンドポイントを使用して、クライアントから ApsaraMQ for Kafka インスタンスに接続できます。詳細については、「VPC 接続インスタンスのエンドポイント間の比較」をご参照ください。
表 2. VPC 接続インスタンスのエンドポイント間の比較
ネットワーク タイプ | ポート番号 | エンドポイント | プロトコル | シナリオ |
VPC | 9092 | デフォルト エンドポイント | PLAINTEXT | メッセージ転送中に暗号化は不要であり、メッセージの生成と消費中に身元認証は不要です。 |
9094 | SASL エンドポイント | SASL_PLAINTEXT | メッセージ転送中に暗号化は不要ですが、メッセージの生成と消費中に身元認証が必要です。身元認証には次のメカニズムがサポートされています。
| |
9095 | SSL エンドポイント | SASL_SSL | メッセージ転送中に暗号化が必要であり、メッセージの生成と消費中に身元認証が必要です。身元認証には次のメカニズムがサポートされています。
|
デプロイ中にインスタンスの ACL を有効にすると、システムはポート 9094 の SASL エンドポイントを有効にします。VPC 伝送暗号化を有効にすると、システムはポート 9095 の SSL エンドポイントを有効にします。詳細については、「手順 3:インスタンスをデプロイする」をご参照ください。
デプロイ済みインスタンスの ACL を有効にすると、システムはポート 9094 の SASL エンドポイントとポート 9095 の SSL エンドポイントを同時に有効にします。詳細については、「ACL を有効にする」をご参照ください。