Control Center を使用して RBAC ロールを管理する

Control Center UI でクラスタースコープおよびリソーススコープに対するユーザーおよびグループの RBAC ロール割り当て(ロールバインディング)を管理します。ロール割り当てを追加および削除できます。ロール割り当ての編集はできません。変更の必要がある場合は、必ず割り当てを削除してから追加し直さなければなりません。Confluent Platform RBAC でのロール割り当ては、allow モデルでのみ動作します。deny ロール割り当てはサポートされていません。事前定義(組み込み)ロールのみがサポートされています。カスタムロールはサポートされていません。

前提条件

  • RBAC が Control Center およびご使用の環境内のすべての Confluent Platform コンポーネントで 有効 にされていること。Control Center RBAC 構成ドキュメントで「前提条件」を参照してください。
  • Control Center 内で RBAC ロール割り当てを管理するための 適切なロール が割り当てられていること。

ロールを管理するために必要なロールアクセス許可

適切なアクセス許可が付与されていれば、Confluent CLI ではなく Control Center の UI で、RBAC ロール割り当てを管理できます。以下の事前定義 RBAC ロールでは、Confluent Platform で他のユーザーのロールを管理または表示できます。

  • SystemAdmin

  • UserAdmin

  • ResourceOwner (それぞれに対応するリソースのみ)

  • SecurityAdmin (他のユーザーのロールを表示できますが管理はできません)

    注釈

    SecurityAdmin ロールには、クラスターロールおよびリソースロールを表示するアクセス許可がありますが、ロールを追加または削除するアクセス許可はありません。SecurityAdmin ロールのみを持つユーザーには、ロールの追加および削除を行うボタンは表示されません。

重要

プリンシパルが Kafka super.user で、ロール割り当てがない場合、プリンシパルは Control Center UI を使用したロールの表示や割り当てを行うことができません。super.user は CLI を使用してロールを割り当てできます。super.user のアクセス権限と使用の詳細については、「ロール割り当てのトラブルシューティング」を参照してください。

各ロールの詳細については、UI の Roles ページ と、RBAC 事前定義ロール のドキュメントを参照してください。

Control Center で RBAC が有効にされている場合、適切なロールアクセス許可が付与されているユーザーであれば、View my role assignments オプションと Manage role assignments オプションが Control Center Administration メニューに表示されます。

Control Center の Administration メニューのロール割り当て

Control Center の Administration メニューのロール割り当てオプション

RBAC ロール割り当てを管理できるロールが付与されていないユーザーの場合、Manage role assignments オプションは Administration メニューに表示されません。

Roles ページ

Roles ページにアクセスするには、Control Center Administration メニューの Manage role assignments をクリックします。

このページでは、使用可能な RBAC ロールとロールの説明を表示できます。

注釈

このページで行うアクションはありません。情報提供のみを目的としています。

Confluent Platform での RBAC ロールおよび説明

Confluent Platform での RBAC ロールおよび説明

ちなみに

RBAC 事前定義ロール のドキュメントにアクセスするには、RBAC role descriptions リンクをクリックします。

Manage Role Assignments ページ

Assignments ページにアクセスするには、以下の手順に従います。

  1. Control Center の Administration メニューで、Manage role assignments をクリックします。
  2. Assignments タブをクリックします。

このページを使用して以下の操作を行います。

  • アクセス許可を管理できるクラスターを表示します。

  • クラスターを名前および ID で検索します。

  • 既存のクラスターレベルの割り当てを表示します。

  • クラスタータイプ(Connect、Kafka、ksqlDB、Schema Registry)を基準にクラスタービューをフィルター処理します。

    注釈

    ロール割り当ての管理を認可されているクラスターのタイプが 1 つのみの場合は、Cluster type (All clusters)リストは表示されません。付与されているロールのアクセス許可によって管理できるクラスタータイプのみがリストに表示されます。

  • クラスターの詳細を表示して Cluster roles ページおよび Resource roles ページにアクセスすることで、グループおよびユーザーの ロール割り当てを追加 および 削除 できます。

    Confluent Platform のクラスターロール割り当てのページ

    Confluent Platform のクラスターロール割り当てのページ

ロール割り当ての追加

Control Center UI を使用してロール割り当て(ロールバインディング)を追加します。ロール割り当てを追加するための 適切なロール が割り当てられている必要があります。

To use the CLI to add a role assignment, see confluent iam rolebinding create.

上限の 1,000 個までロールバインディングを追加できます。詳細については、「RBAC の制限」を参照してください。

Add role assignment フォーム

クラスターまたはそのリソースにロール割り当てを追加するには、このフォームに入力します。すべてのフィールドが必須です。リソーススコープの場合は、いくつかの追加のフィールドが表示されます。クラスターにロールを割り当てることに加え、クラスタータイプに応じて、以下のクラスターリソースのロール割り当てを追加できます。

  • Apache Kafka® クラスターリソース:

  • Schema Registry クラスターリソース:

    • サブジェクト
  • Connect クラスターリソース:

    • コネクター

次の図は、Connect クラスター用の Add role assignment フォームを示します。

Confluent Platform での Connect クラスターに対するロール割り当ての追加

Confluent Platform での Connect クラスターに対するロール割り当ての追加

フィールド

Principal type
LDAP と AD のグループまたはユーザーです。
Principal name

プリンシパル名または ID です。既存のプリンシパルを選択するか、新しいプリンシパルを作成できます。

重要

プリンシパルのリストには、ご使用の LDAP と AD の環境で使用可能なプリンシパルが事前に取り込まれます。既存のプリンシパルを選択するのではなくプリンシパルを作成する場合は、対応するプリンシパルを LDAP と AD の環境に必ず作成してください。

Role
スコープのコンテキスト(クラスターまたはクラスターリソース)に応じて使用可能なロールのリストです。
Define a scope

クラスター ID またはリソース ID。表示専用です。

Pattern type
Literal または Prefixed です。Prefixed の場合、アスタリスクは先頭に追加されるので、入力する必要はありません。
Literal パターンの場合は、完全なワイルドカードのみが使用できます。たとえば、特定のプレフィックスの後にワイルドカードを続けてトピックを検索する場合は、Literal ではなく Prefixed を使用する必要があります。
Select or enter resource ID

リソーススコープ(コンシューマーグループ、トピック、トランザクション ID、サブジェクト、コネクター)のみに適用されます。

重要

ユーザーに特定のプレフィックスまたはリテラルパターンに対するアクセス許可が既に付与されている場合は、選択できるオプションがこのリストに事前に取り込まれます。既存のリソース ID をリストから選択せずにリソース ID を作成する場合は、対応するリソースを Confluent Platform 内に必ず作成してください。

ロール割り当ての追加(クラスタースコープ)

クラスタースコープレベルでロール割り当て(バインディング)を追加するには、以下の手順に従います。

  1. Control Center に ログイン します。

  2. Control Center の Administration メニューで、Manage role assignments をクリックします。

  3. Assignments タブをクリックします。Assignments ページが表示されます。

  4. Cluster ID 列で、ロール割り当てを追加するクラスターの名前に下線が付いたリンクをクリックします。クラスターのタイプに適したすべてのタブが表示され、デフォルトでは Cluster タブが表示されます。

  5. + Add role assignment をクリックします。Add role assignment フォーム が表示されます。

  6. Principal type として Group または User を指定します。

  7. Principal name または ID を指定します。

    ちなみに

    プリンシパルを検索するには、文字をいくつか入力します。

  8. Role リストからロールを選択します。

  9. Save をクリックします。トップバナーに Successfully created role assignment メッセージが表示されます。

ロール割り当ての追加(リソーススコープ)

リソーススコープレベルでロール割り当て(バインディング)を追加するには、以下の手順に従います。

  1. Control Center に ログイン します。

  2. Control Center の Administration メニューで、Manage role assignments をクリックします。

  3. Assignments タブをクリックします。

  4. Cluster ID 列で、ロール割り当てを追加するクラスターの名前に下線が付いたリンクをクリックします。クラスターのタイプに適したすべてのタブが表示され、デフォルトでは Cluster タブが表示されます。

  5. 該当するクラスターリソースタブに移動します。

    • Consumer Group、Topic、または Transactional ID(Kafka クラスター)
    • Subject(Schema Registry クラスター)
    • Connector(Connect クラスター)
  6. + Add role assignment をクリックします。Add role assignment フォーム が表示されます。

  7. Principal type として Group または User を指定します。

  8. Principal name または ID を指定します。

    ちなみに

    プリンシパルを検索するには、文字をいくつか入力します。

  9. Role リストからロールを選択します。

  10. Define a scope ペインのフィールドに入力します。

    • Pattern typePrefixed または Literal を選択します。Prefixed の場合、アスタリスクは先頭に追加されるので、入力する必要はありません。Literal パターンの場合は、完全なワイルドカードのみが使用できます。たとえば、特定のプレフィックスの後にワイルドカードを続けてトピックを検索する場合は、Literal ではなく Prefixed を使用する必要があります。

    • ロールを割り当てるリソースの Resource ID を入力します。

      ちなみに

      まだ存在していないトピックにロールを割り当てる場合は、Create new topic リンクをクリックしてオンザフライでトピックを作成できます。

  11. Save をクリックします。トップバナーに Successfully created role assignment メッセージが表示されます。

ロール割り当ての削除

Control Center UI を使用してロール割り当て(ロールバインディング)を削除します。一度に 1 つのロール割り当てのみ削除できます。ロール割り当てを削除する 適切なロール が割り当てられている必要があります。ロール割り当てを削除すると、ユーザーまたはグループのクラスターまたはクラスターのリソースに対するアクセスが削除されます。

To use the CLI to delete a role assignment, see confluent iam rolebinding list.

ロール割り当ての削除(クラスターまたはリソース)

クラスターまたはリソースのスコープレベルでロール割り当て(バインディング)を削除するには、以下の手順に従います。

  1. Control Center に ログイン します。

  2. Control Center の Administration メニューで、Manage role assignments をクリックします。

  3. Assignments タブをクリックします。Assignments ページが表示されます。

  4. Cluster ID 列で、アクセスを削除するクラスター名の、下線が付いたクラスターリンクをクリックします。

  5. 該当する場合は、以下のようなクラスター用の適切なリソーススコープページに移動します。

    • Consumer Group、Topic、または Transactional ID(Kafka クラスター)。
    • Subject(Schema Registry クラスター)。
    • Connector(Connect クラスター)。
  6. スコープに応じていずれかを行います。

    • (クラスターの場合) Principal name 列で削除するロール割り当てを選択します。

      ロール割り当ての削除(クラスタースコープ)

      ロール割り当ての削除(クラスタースコープ)

    • (リソースの場合) Resource ID 列で削除するロール割り当てを選択します。

      ロール割り当ての削除(リソーススコープ)

      ロール割り当ての削除(リソーススコープ)

  7. ごみ箱アイコンをクリックします。ロール割り当て削除の確認を要求されます。

  8. クラスターまたはリソースの ID をテキストボックスに入力するかコピーアンドペーストして Delete をクリックします。トップバナーに Successfully deleted role assignment が表示されます。

    ../../_images/c3-rbac-delete-role-assign-success.png

ロール割り当てのトラブルシューティング

問題 : ユーザーは Control Center でロール割り当てを正常に追加できますが、新しく追加されたロール割り当てを表示できません。

理由と是正措置 : おそらくこのユーザーは ResourceOwner ロールも持つブローカー super.user です。このため、ユーザーはロール割り当てを作成するアクセス許可を持つ一方でロールを表示または管理するアクセス許可を持ちません。ブローカー super.user は初期の UserAdmin および SystemAdmin のロールおよびユーザーのブートストラップ専用です。それ以降は使用しないでください。