Kafka ACL と連携する Control Center の構成¶
アクセス制御リスト(ACL)の作成と使用を試行する前に、ACL のコンセプト に慣れておく必要があります。そうすることで、ACL を作成および使用してコンポーネントとクラスターデータへのアクセスを管理するときによく見られる誤りを避けることができます。
標準の Apache Kafka® 認可および暗号化のオプションは、 Control Center および インターセプター で使用できます。
注釈
JAAS プロパティまたはユーザー証明書を既に定義している場合は、PRINCIPAL
のみをエクスポートします。Control Center を起動する前に、Kafka ACL を作成する必要もあります。次に、この ACL 用に指定されているプリンシパルとして Kafka に認証する Control Center を構成する必要があります。
以下のスクリプトを使用して、認可されたクラスターを操作するために Control Center によって必要とされる ACL を作成します。このスクリプトにより、特定のトピックおよびコンシューマーグループの ACL が作成され、ここでプリンシパルとして識別されたユーザーにアクセス許可が付与されます。Control Center を起動する前に、このスクリプトを実行する必要があります。
export PRINCIPAL=User:username
export CONTROL_CENTER_OPTS="-Djava.security.auth.login.config=<path-to-kafka-jaas.conf>"
bin/control-center-set-acls config/control-center.properties
重要
上記で指定されたプリンシパルは Kafka ユーザーであり、 Kafka ブローカー 内で指定されているものと同じです。
Confluent Control Center が作成する Kafka トピックごとに、ACL が作成されて、指定されたプリンシパルに以下の権限が付与されます。
- CREATE
- WRITE
- DESCRIBE
- DESCRIBE_CONFIGS
- READ
Confluent Control Center Streams アプリケーションに関連するコンシューマーグループ用の指定されたプリンシパル権限を付与する、以下の ACL が作成されます。
- READ
以下の権限を付与する ACL も、クラスター用に作成されます。
- DESCRIBE
- DESCRIBE_CONFIGS
Control Center を起動する前に、Control Center JAAS 構成をエクスポートする必要があります。
export CONTROL_CENTER_OPTS='-Djava.security.auth.login.config=<path-to-c3-jaas.conf>'
bin/control-center-start config/control-center.properties
Control Center ACL の削除¶
間違った Control Center プリンシパルを使用して control-center-set-acls
を実行してしまうことがあります。このアクションを元に戻すには、--delete
オプションを使用してスクリプトを再度実行します。これにより、プリンシパルが当初指定されていた同じトピックおよびコンシューマーグループの Control Center ACL のみが削除されます。
Control Center ACL を削除するには、以下を実行します。
export PRINCIPAL=User:username
export CONTROL_CENTER_OPTS="-Djava.security.auth.login.config=/path/to/<path-to-kafka-jaas.conf>"
bin/control-center-set-acls config/control-center.properties --delete