トピック ACL オーソライザー¶
トピック ACL オーソライザーは、サブジェクトに関連付けられたトピックに対して定義された ACL に依存します。Confluent Avro Serializer を使用する場合、一般にサブジェクト名は、{トピック名}-キー および {トピック名}-値 の形式になります。そのため、トピック ACL オーソライザーは、この標準に従う Confluent Avro Serializer との組み合わせでのみ使用できます。
トピック ACL オーソライザーを有効にするには、以下の構成を schema-registry.properties に追加します。このファイルは、ローカルインストールの <Confluent へのパス>/etc/schema-registry/schema-registry.properties にあります。
confluent.schema.registry.authorizer.class=io.confluent.kafka.schemaregistry.security.authorizer.topicacl.SimpleTopicAclAuthorizer
トピック ACL オーソライザーは関連付けられたトピックの ACL に依存するため、サブジェクトレベルの操作についてのみ ACL を定義できます。グローバルな操作を実行するには、ユーザーがスーパーユーザーに指定されている必要があります。トピック ACL オーソライザーのスーパーユーザーを管理するには、以下の構成を使用します。
confluent.topic.acl.super.usersスーパーユーザーになることができるユーザーをセミコロンで区切ったリスト。読み取りまたは書き込みの互換性などのサブジェクトを含まないグローバルな操作を実行するには、必ずスーパーユーザーになる必要があります。たとえば、
admin1;admin2では、admin1 と admin2 の両方がスーパーユーザーになります。- 型: string
- デフォルト: ""
- 重要度: 中
この ACL を管理するには、Kafka ACL CLI を使用します。以下の表は、Schema Registry の操作と Apache Kafka® トピックの操作の対応をまとめたものです。
| Schema Registry の操作 | 必須の Kafka ACL |
|---|---|
| SUBJECT_READ | TOPIC READ |
| SUBJECT_WRITE | TOPIC WRITE |
| SUBJECT_DELETE | TOPIC WRITE |
| SCHEMA_READ | スキーマ ID と関連付けられた 1 つ以上のトピックに対する TOPIC READ |
| SUBJECT_COMPATIBILITY_READ | TOPIC READ |
| SUBJECT_COMPATIBILITY_WRITE | TOPIC WRITE |
| GLOBAL_COMPATIBILITY_READ | SUPER USER |
| GLOBAL_COMPATIBILITY_WRITE | SUPER USER |
| GLOBAL_SUBJECTS_READ | SUPER USER |