ApsaraMQ for Kafka Professional または Serverless Edition インスタンスのアクセス制御リスト (ACL) 機能を使用して、さまざまなユーザーまたはユーザーグループに異なる権限を付与できます。この機能により、Simple Authentication and Security Layer (SASL) ユーザーに Topic やグループなどのリソースに対する権限を付与して、詳細な権限管理を実現できます。
背景情報
企業 A は ApsaraMQ for Kafka を購入し、ユーザー A がすべての ApsaraMQ for Kafka Topic からメッセージをコンシュームできるが、どの ApsaraMQ for Kafka Topic にもメッセージを生成できないように権限を構成したいと考えています。
使用上の注意
ApsaraMQ for Kafka は、インターネットまたは VPC 経由でアクセス可能なインスタンスにデフォルトの SASL ユーザーを提供します。デフォルトの SASL ユーザーは ID 検証にのみ使用され、すべての Topic とグループに対する読み取りおよび書き込み権限を持っています。より詳細な権限コントロールを行うには、ACL を有効にする必要があります。ACL を有効にした後、カスタム SASL ユーザーを作成し、ApsaraMQ for Kafka でメッセージを送受信するために必要な権限を付与する必要があります。ACL を有効にすると、デフォルトの SASL ユーザーの権限は無効になります。
ACL を有効にすると、メッセージを送信して Topic を自動的に作成することはできなくなります。
前提条件
お使いの ApsaraMQ for Kafka インスタンスは、次の要件を満たす必要があります。
インスタンスは Professional または Serverless Edition です。
インスタンスが サービス中 状態であること。
メジャーバージョンが 2.2.0 以降であること。インスタンスのメジャーバージョンをアップグレードする方法の詳細については、「バージョンのアップグレード」をご参照ください。
マイナーバージョンが最新であること。インスタンスのマイナーバージョンをアップグレードする方法の詳細については、「インスタンスバージョンのアップグレード」をご参照ください。
ステップ 1: ACL を有効にする
インスタンスのマイナーバージョンをアップグレードした後、ApsaraMQ for Kafka コンソールでインスタンスの ACL を有効にします。
ApsaraMQ for Kafka コンソールにログインします。
概要 ページの リソースの分布 セクションで、管理する ApsaraMQ for Kafka インスタンスが存在するリージョンを選択します。
インスタンスリスト ページで、管理するインスタンスの名前をクリックします。
インスタンスの詳細 ページで、概要 セクションの右上隅にある ACL の有効化 をクリックします。
[注意] ダイアログボックスで [確認] をクリックし、手動でページを更新します。
手動でページを更新すると、インスタンスの詳細 ページの 基本情報 セクションの ステータス が アップグレード中 に変わります。インスタンスの ステータス が サービス中 に変わると、ACL 機能が有効になります。
重要アップグレードには約 15〜20 分かかります。アップグレードが完了すると、インスタンスの ACL が有効になります。その後、SASL ユーザーを作成し、権限を付与し、SASL エンドポイントを使用してインスタンスにアクセスできます。
ステップ 2: SASL ユーザーを作成する
インスタンスの ACL を有効にした後、ユーザー A 用の SASL ユーザーを作成します。
ApsaraMQ for Kafka コンソールにログインします。
概要 ページの リソースの分布 セクションで、管理する ApsaraMQ for Kafka インスタンスが存在するリージョンを選択します。
インスタンスリスト ページで、ACL を有効にしたインスタンスを選択します。
インスタンスの詳細 ページで、SASL ユーザー管理 タブをクリックします。Serverless インスタンスの場合、左側のナビゲーションウィンドウで、 を選択します。
SASL ユーザー管理 ページで、SASL ユーザーの作成 をクリックします。
SASL ユーザーの作成 パネルで、SASL ユーザーのパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ユーザー名
SASL ユーザーの名前。
ユーザータイプ
ApsaraMQ for Kafka は、次の SASL メカニズムをサポートしています。
PLAIN: シンプルなユーザー名とパスワードの検証メカニズムです。ApsaraMQ for Kafka は PLAIN メカニズムを最適化し、インスタンスを再起動することなく SASL ユーザーの動的な作成をサポートします。
SCRAM: PLAIN よりも安全なユーザー名とパスワードの検証メカニズムです。Serverless ではない ApsaraMQ for Kafka インスタンスは SCRAM-SHA-256 を使用します。Serverless インスタンスは SCRAM-SHA-512 をサポートしており、これがデフォルトの SCRAM 構成です。
パスワード
SASL ユーザーのパスワード。
パスワードの確認
SASL ユーザーのパスワードを再度入力します。
ユーザーが作成されると、新しい SASL ユーザーが SASL ユーザー管理 タブに表示されます。
SASL ユーザーのパスワードを変更するには、操作 列の パスワードの変更 をクリックします。[SASL ユーザーパスワードの変更] パネルで、新しいパスワード と 新しいパスワードの確認 パラメーターを設定し、[OK] をクリックします。
SASL ユーザーを削除するには、操作 列の 削除 をクリックします。
ステップ 3: SASL ユーザーに権限を付与する
ユーザー A の SASL ユーザーを作成した後、Topic と使用者グループからメッセージを読み取る権限をユーザーに付与します。
インスタンスの詳細 ページで、SASL 権限管理 タブをクリックします。
SASL 権限管理 タブで、権限の追加 をクリックします。
権限の追加 パネルで、次のパラメーターを設定し、OK をクリックします。
パラメーター
説明
ユーザー名
SASL ユーザーの名前。ApsaraMQ for Kafka は、ワイルドカードとしてアスタリスク (*) を使用してすべてのユーザー名を表すことをサポートしています。
リソースタイプ
ApsaraMQ for Kafka は、次のリソースタイプに対する権限の付与をサポートしています。
トピック:トピック。
Group: 使用者グループ。
Cluster: インスタンス。
TransactionalId: トランザクション ID。
照合方法
ApsaraMQ for Kafka は、次の一致パターンをサポートしています。
完全一致: まったく同じ名前のリソースにのみ一致します。
プレフィックス一致: 指定されたプレフィックスで始まる名前のリソースに一致します。
リソース名
Topic、グループ、またはクラスターの名前、あるいはトランザクションの ID。ApsaraMQ for Kafka は、ワイルドカードとしてアスタリスク (*) を使用してすべてのリソース名を表すことをサポートしています。
操作タイプ
ApsaraMQ for Kafka は、次の操作タイプをサポートしています。
書き込み
読み取り
冪等な書き込み
重要Group リソースタイプでは、読み取り 操作のみがサポートされています。
Cluster リソースタイプでは、冪等な書き込み 操作のみがサポートされています。
Serverless インスタンスのパラメーター
パラメーター
説明
ユーザー名
SASL ユーザーの名前。ApsaraMQ for Kafka は、ワイルドカードとしてアスタリスク (*) を使用してすべてのユーザー名を表すことをサポートしています。
リソースタイプ
ApsaraMQ for Kafka は、次のリソースタイプに対する権限の付与をサポートしています。
トピック:トピック。
Group: 使用者グループ。
Cluster: インスタンス。
TransactionalId: トランザクション ID。
照合方法
ApsaraMQ for Kafka は、次の一致パターンをサポートしています。
完全一致: まったく同じ名前のリソースにのみ一致します。
プレフィックス一致: 指定されたプレフィックスで始まる名前のリソースに一致します。
リソース名
Topic、グループ、またはクラスターの名前、あるいはトランザクションの ID。ApsaraMQ for Kafka は、ワイルドカードとしてアスタリスク (*) を使用してすべてのリソース名を表すことをサポートしています。
ソース IP
アクセスが許可またはブロックされるソース IP アドレス。
権限付与方法
ALLOW: アクセスを許可します。
DENY: アクセスを拒否します。
操作タイプ
ApsaraMQ for Kafka は、次の操作タイプをサポートしています。
WRITE: 書き込み
READ: 読み取り
CREATE: 作成
DELETE: 削除
DESCRIBE: メタデータとオフセット情報を表示します。
DESCRIBE_CONFIGS: 構成情報を表示します。
IDEMPOTENT_WRITE: べき等書き込み。
重要バージョン 3.0 以降のクライアントでは、べき等書き込みがデフォルトで有効になっています。メッセージを送信するには、
enable.idempotence=trueを設定し、[IDEMPOTENT_WRITE] 権限を追加する必要があります。[WRITE]、[READ]、[DELETE]、または [ALTER] 権限を付与すると、[DESCRIBE] 権限がデフォルトで付与されます。
Cluster リソースタイプでは、[IDEMPOTENT_WRITE] 操作のみがサポートされています。
構成が完了すると、作成されたユーザー権限が SASL 権限管理 タブに表示されます。特定の権限を見つけるには、リソースタイプ、照合方法、リソース名、ユーザー名 などのパラメーターを設定し、クエリ をクリックします。
関連操作
権限付与が許可された後、ユーザー A は SASL エンドポイントを使用して ApsaraMQ for Kafka インスタンスにアクセスし、PLAIN メカニズムを使用してメッセージをコンシュームできます。SDK を使用してインスタンスにアクセスする方法の詳細については、「SDK の概要」をご参照ください。
API 操作を使用して SASL ユーザーに権限を付与する方法については、「SASL ユーザーの作成」および「ACL の作成」をご参照ください。
SASL エンドポイントの詳細については、「エンドポイントの比較」をご参照ください。