1. Home
2. Platform
3. セキュリティ
4. Confluent のセキュリティ

Confluent Server Authorizer の構成

Confluent Server Authorizer では、独自の LDAP グループベース およびロールベースアクセス制御（RBAC）による認可と、ACL の設定がサポートされています。Confluent Server Authorizer では、プラグ可能な認可およびグループプロバイダーがサポートされており、実行時に ACL、LDAP、および RBAC プロバイダーを読み込むことができます。

注釈

非推奨の LDAP Authorizer を使用して以前構成した属性を Confluent Server Authorizer で構成することもできます。その場合は、各属性に ldap. というプレフィックスを付けます。Confluent Server Authorizer を使用して構成する場合は、LDAP 属性に ldap.authorizer. というプレフィックスを "付けない" でください。

Confluent Server Authorizer の構成

Confluent Server Authorizer を使用して認可を有効にするには、ブローカー構成（server.properties ファイル内）で、authorizer.class.name を io.confluent.kafka.security.authorizer.ConfluentServerAuthorizer に設定する必要があります。

authorizer.class.name=io.confluent.kafka.security.authorizer.ConfluentServerAuthorizer

Confluent Server Authorizer 構成リファレンス

Confluent Server Authorizer では、以下に示す構成オプションも処理されます。

super.users

すべてのホストで、すべてのアクションについて、すべてのリソースへのアクセスを許可されているスーパーユーザーまたはスーパーグループのプリンシパルを示すセミコロン区切りのリスト。リソースに ACL が関連付けられていない場合は、スーパーユーザーのみがリソースにアクセスできます。設定方法の例については、「ブローカーの構成」を参照してください。

• 型: string
• デフォルト: ""
• 重要度: 中

allow.everyone.if.no.acl.found

ユーザープリンシパル用またはユーザーが属するグループ用の ACL が見つからない場合に、すべてのユーザーにリソースへのアクセスが許可されるかどうかを示すブール値フラグ。

注釈

本稼働環境では allow.everyone.if.no.acl.found 構成オプションを使用しないことを強くお勧めします。

• ACL があるという前提でこのオプションを指定し、最後の ACL が削除される場合、実質的にすべてのユーザーに対して Kafka クラスターを開きます。
• このオプションを使用して ACL を無効にする場合は、次の点に注意してください。ACL が追加されると、以前にアクセス権を持っていたすべてのユーザーがそのアクセス権を失います。

• 型: boolean
• デフォルト: false
• 重要度: 中

broker.users

ブローカー間のリスナーですべてのリソースへのアクセスを許可されているユーザーのプリンシパルを示すセミコロン区切りのリスト。super.users とは異なり、broker.users では、ブローカー間リスナーからのリクエストのみが許可されます。このオプションの主な用途は、一元的な ACL 機能を使用しているときに MDS クラスターをブートストラップすることです。

• 型: string
• デフォルト: ""
• 重要度: 中

confluent.license

Confluent では、各契約者にライセンスキーを発行します。ライセンスキーは、コピーアンドペーストできる短いテキストです。ライセンスキーがなくても、Confluent セキュリティプラグインを 30 日間試用できます。既にご契約済みであってもライセンスキーをお持ちでない場合は、Confluent サポート（support@confluent.io）にお問い合わせください。

• 型: string
• デフォルト: ""
• 重要度: 高

confluent.authorizer.access.rule.providers

有効になっているアクセスルールプロバイダーのリスト。サポートされているアクセスルールプロバイダーは、CONFLUENT と ZK_ACL です。デフォルトでは、ACL ベースのプロバイダーが有効になります。

• 型: list
• デフォルト: ZK_ACL
• 重要度: 中

confluent.authorizer.init.timeout.ms

オーソライザーが起動して Kafka トピックからのメタデータを初期化するまで待機する時間の長さ（単位: ミリ秒）。メタデータトピックをホストしているクラスターのブローカーでは、Kafka トピックからのオーソライザーメタデータの初期化の前に、ブローカー間リスナーが開始されます。

• 型: int
• Default: 600000 [0,...]
• 重要度: 低

confluent.http.server.listeners

ローカルメタデータサービスおよびローカルクラスターのブローカーで HTTP リスナーを指定、無効化、または変更するために使用します。このオプションは、 MDS がこのブローカーでホストされていない場合にのみ適用されます。このブローカーがローカルクラスターに関連するメタデータ用の組み込み HTTP サーバープラグインをホストしている場合は、HTTP サーバーのリスナー URL のコンマ区切りリストを指定します。すべてのインターフェイスにバインドするには、ホスト名を 0.0.0.0 として指定します。https://0.0.0.0:8090 や http://127.0.0.1:8091 などは有効なリスナーの例です。ブローカーの HTTP リスナーを無効にするには、空白の値に設定します。デフォルトで、Confluent Server では常にポート 8090 で HTTP メタデータリスナーが有効になります。

• 型: int
• デフォルト: https://0.0.0.0:8090
• 重要度: 中

関連情報

LDAP を使用したグループベースの認可の構成オプションを確認するには、以下を参照してください。

• LDAP の構成
• チュートリアル: LDAP を使用したグループベースの認可

ロールベースアクセス制御（RBAC）の Confluent Server Authorizer に関する構成の詳細を確認するには、以下を参照してください。

• RBAC の構成
• Metadata Service (MDS) の構成