1. Home
2. Platform
3. セキュリティ
4. 認可
5. ロールベースアクセス制御を使用した認可

クラスターの識別子について

Confluent CLI を使用して ユーザーロールを割り当てる 場合、Confluent Platform デプロイ内のクラスターを表す識別子が必要です。

たとえば、次のコマンドでは、<kafka-id> で識別される Kafka クラスター内のトピックに対する DeveloperRead ロールを割り当てます。

# Grant read-only access for a user to a topic.
confluent iam rolebinding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --resource Topic:<topic-name> \
  --kafka-cluster-id <kafka-id>

Copy

Schema Registry、ksqlDB、および Connect のロールバインディングを作成するときは、Kafka クラスター ID と追加のコンポーネントクラスター ID の 2 つを指定する必要があります。たとえば、次のコマンドでは、Schema Registry クラスター内のトピックに対する DeveloperWrite ロールを割り当てます。

# Grant write access for a user to a topic in Schema Registry.
confluent iam rolebinding create \
  --principal User:<user-name> \
  --role DeveloperWrite \
  --resource Topic:<topic-name> \
  --kafka-cluster-id <kafka-id> \
  --schema-registry-cluster-id <schema-registry-cluster-id>

Copy

クラスター ID の表示

コンポーネントのクラスター ID を探す前に、すべての Confluent Platform コンポーネントの URL（例: http://127.0.0.1:8080/）を入手しておく必要があります。各コンポーネントの HTTP アドレス（セットアップによって異なります）については、IT 管理者にお問い合わせください。

Confluent Platform コンポーネントのクラスター ID を表示するには、次のコマンドを実行します。

confluent cluster describe --url <service url>

Copy

Kafka の例

Kafka の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8090
Scope:
       Type       |           ID
+-----------------+------------------------+
  kafka-cluster   | LRx92c9yQ+ws786HYosuBn

Copy

この例では、Kafka クラスター ID は LRx92c9yQ+ws786HYosuBn です。

ロールまたは ACL をユーザーに割り当てるときは、Kafka クラスター ID を kafka-cluster-id オプションとともに使用します。次の Confluent CLI コマンドは、このクラスターに対する DeveloperRead ロールを付与する方法を示しています。

# Grant read-only access for a user to a topic.
confluent iam rolebinding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --resource Topic:<topic-name> \
  --kafka-cluster-id LRx92c9yQ+ws786HYosuBn

Copy

ksqlDB の例

ksqlDB の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8088
Scope:
       Type       |           ID
+-----------------+------------------------+
  ksql-cluster    | ksql-cluster
  kafka-cluster   | JFb61d2pD6fe224FbsjoZl

Copy

この例では、ksqlDB サービス ID は ksql-cluster です。

ロールをユーザーに割り当てるときは、ksqlDB サービス ID を ksql-cluster-id オプションとともに使用します。次の Confluent CLI コマンドは、このクラスターに対する ResourceOwner ロールを付与する方法を示しています。

confluent iam rolebinding create \
    --principal User:<user-name> \
    --role ResourceOwner \
    --kafka-cluster-id JFb61d2pD6fe224FbsjoZl \
    --ksql-cluster-id ksql-cluster \
    --resource KsqlCluster:ksql-cluster

Copy

Schema Registry の例

Schema Registry の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8081
Scope:
          Type           |           ID
+------------------------+--------------------------+
 schema-registry-cluster |  schema-registry
 kafka-cluster           |  DCs16f7dN-pu781RtumkJd

Copy

この例では、Schema Registry クラスター ID は schema-registry です。

次の Confluent CLI コマンドは、デフォルトのクラスター ID を持つ Schema Registry クラスターに対する DeveloperRead ロールを付与する方法を示しています。

confluent iam rolebinding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --schema-registry-cluster-id schema-registry \
  --kafka-cluster-id DCs16f7dN-pu781RtumkJd

Copy

Schema Registry クラスター ID は、schema-registry.properties ファイルにある schema.registry.group.id 構成設定です。デフォルト値は schema-registry です。ID を割り当てるには、confluent iam rolebinding create コマンドの schema-registry-cluster-id オプションを使用します。

スキーマが格納されている Kafka クラスターのクラスター ID を使用します。このクラスターは、kafkastore.boostrap.servers プロパティで構成されています。

kafkastore.boostrap.servers プロパティが設定されていない場合は、kafkastore.connection.url プロパティで構成された ZooKeeper を持つクラスターを使用します。詳細については、「シングルデータセンター構成」を参照してください。

注釈

kafkastore.connection.url は非推奨になっています。詳細については、「ZooKeeper のプライマリ選出から Kafka のプライマリ選出への移行」を参照してください。

Connect の例

Connect の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8083
Scope:
       Type       |           ID
+-----------------+------------------------+
  connect-cluster | connect-cluster
  kafka-cluster   | DEk20b9rR-at315LMtcuUw

Copy

この例では、Connect クラスター ID は connect-cluster です。

次の Confluent CLI コマンドは、Connect クラスター connect-cluster に対する DeveloperRead ロールを付与する方法を示しています。

confluent iam rolebinding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --connect-cluster-id connect-cluster \
  --kafka-cluster-id DEk20b9rR-at315LMtcuUw

Copy

Connect クラスター ID は、ワーカーの構成ファイルの group.id 設定です。ID を割り当てるには、confluent iam rolebinding create コマンドの connect-cluster-id オプションを使用します。

コネクターの構成、ステータス、およびオフセット情報を格納する Kafka クラスターのクラスター ID を使用します。このクラスターは、bootstrap.servers プロパティを持つ Connect ワーカーファイルで構成されています。詳細については、「分散ワーカーの構成」を参照してください。

注釈

スタンドアロンモードで実行している場合、connect-cluster-id はすべて大文字の STANDALONE です。