1. Home
  2. Cloud
  3. アカウントとアクセス権の管理
  4. アクセスの制御

重要

このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。

Confluent Cloud のアクセス制御リスト(ACL)の使用

アクセス制御リスト(ACL)は、Confluent Cloud の Kafka リソースおよびデータへのセキュアなアクセスを提供します。ユーザーアカウントとサービスアカウントには、リソースに対して明示的に付与されたアクセス許可のみが与えられます。

重要

Confluent Cloud の ACL は、Kafka の ACL と似ています。ACL の作成と使用を試す前に、ACL の概念 を理解する必要があります。そうすることで、ACL を作成および使用してコンポーネントとクラスターデータへのアクセスを管理するときによく見られる誤りを避けることができます。

ユーザーが実行できる操作は、ユーザーがアクセス権限を持っているリソースによって異なります。ACL を定義するときは、ユーザーやグループにどのリソースに対するアクセス権限を持たせるかと、それらのリソースを管理するときに実行可能な操作を考慮してください。たとえば、特定のユーザーがアクセスを必要とするリソースによっては、複数の ACL の定義が必要になる場合があります。

Confluent Cloud で利用できる ACL リソースおよび操作

ここにリストされている Confluent Cloud ACL のリソースと操作は、Kafka ACL のリソースと操作 のサブセットであることに注意してください。

リソース 操作
Cluster
  • Create(トピックの作成を許可する)
  • Describe: DescribeConfigs、DescribeCluster、その他のメタデータ
  • IdempotentWrite: べき等モードのプロデューサーの場合、InitProducerId(idempotent): プロデューサーを初期化する
  • Alter(CreateAcls、DeleteAcls)
コンシューマーグループ
  • 削除
  • Describe
  • Read
Topic
  • Alter
  • AlterConfigs
  • 作成
  • 削除
  • Describe(たとえば、パーティションの数など)
  • DescribeConfigs
  • Read
  • Write
TransactionalID
  • Describe
  • Write

Confluent Cloud では、特定の IP アドレスにのみアクセス権限を付与する IP 許可リストはサポートされていません。

トピックやリソースを個々に指定する代わりに、ワイルドカードとプレフィックスマッチを使用すると、より管理しやすい Kafka ACL を作成できます。詳細については、「プレフィックス付き ACL」を参照してください。

ACL は Confluent CLI を使用して管理されます。

  • Confluent Cloud クラスターで Confluent CLI を使用する方法については、「チュートリアル: Confluent CLI <https://docs.confluent.io/platform/current/tutorials/examples/ccloud/docs/beginner-cloud.html>」を参照してください。
  • ACL に関する Confluent CLI コマンドの詳細については、「confluent kafka acl」を参照してください。

Kafka ACL の網羅的なリストについては、「ACL を使用した認可」を参照してください。

Confluent Cloud リソースおよびデータへのアクセスの制限

Confluent Cloud の ロールベースアクセス制御(RBAC) は、組織、環境、クラスター、または細かい Kafka リソース(トピック、コンシューマーグループ、トランザクション ID)へのアクセスを、事前定義されたロールとアクセス許可に基づいて制御できるようにするものです。

RBAC と ACL を組み合わせて使用すると、Confluent Cloud のリソースとデータに対するアクセス制御を補完できます。詳細については、「ACL と RBAC の使用」を参照してください。