1. Home
2. Platform
3. セキュリティ
4. 認可
5. ロールベースアクセス制御を使用した認可

クラスターの識別子について

When you assign user roles using the Confluent CLI, you need the identifiers for the clusters in your Confluent Platform deployment.

たとえば、次のコマンドでは、<kafka-id> で識別される Kafka クラスター内のトピックに対する DeveloperRead ロールを割り当てます。

# Grant read-only access for a user to a topic.
confluent iam rbac role-binding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --resource Topic:<topic-name> \
  --kafka-cluster-id <kafka-id>

Schema Registry、ksqlDB、および Connect のロールバインディングを作成するときは、Kafka クラスター ID と追加のコンポーネントクラスター ID の 2 つを指定する必要があります。たとえば、次のコマンドでは、Schema Registry クラスター内のトピックに対する DeveloperWrite ロールを割り当てます。

# Grant write access for a user to a topic in Schema Registry.
confluent iam rbac role-binding create \
  --principal User:<user-name> \
  --role DeveloperWrite \
  --resource Topic:<topic-name> \
  --kafka-cluster-id <kafka-id> \
  --schema-registry-cluster-id <schema-registry-cluster-id>

クラスター ID の表示

コンポーネントのクラスター ID を探す前に、すべての Confluent Platform コンポーネントの URL（例: http://127.0.0.1:8080/）を入手しておく必要があります。各コンポーネントの HTTP アドレス（セットアップによって異なります）については、IT 管理者にお問い合わせください。

Confluent Platform コンポーネントのクラスター ID を表示するには、次のコマンドを実行します。

confluent cluster describe --url <service url>

Kafka の例

Kafka の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8090
Scope:
       Type       |           ID
+-----------------+------------------------+
  kafka-cluster   | LRx92c9yQ+ws786HYosuBn

この例では、Kafka クラスター ID は LRx92c9yQ+ws786HYosuBn です。

ロールまたは ACL をユーザーに割り当てるときは、Kafka クラスター ID を kafka-cluster-id オプションとともに使用します。次の Confluent CLI コマンドは、このクラスターに対する DeveloperRead ロールを付与する方法を示しています。

# Grant read-only access for a user to a topic.
confluent iam rbac role-binding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --resource Topic:<topic-name> \
  --kafka-cluster-id LRx92c9yQ+ws786HYosuBn

ksqlDB の例

ksqlDB の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8088
Scope:
       Type       |           ID
+-----------------+------------------------+
  ksql-cluster    | ksql-cluster
  kafka-cluster   | JFb61d2pD6fe224FbsjoZl

この例では、ksqlDB サービス ID は ksql-cluster です。

ロールをユーザーに割り当てるときは、ksqlDB サービス ID を ksql-cluster-id オプションとともに使用します。次の Confluent CLI コマンドは、このクラスターに対する ResourceOwner ロールを付与する方法を示しています。

confluent iam rbac role-binding create \
    --principal User:<user-name> \
    --role ResourceOwner \
    --kafka-cluster-id JFb61d2pD6fe224FbsjoZl \
    --ksql-cluster-id ksql-cluster \
    --resource KsqlCluster:ksql-cluster

Schema Registry の例

Schema Registry の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8081
Scope:
          Type           |           ID
+------------------------+--------------------------+
 schema-registry-cluster |  schema-registry
 kafka-cluster           |  DCs16f7dN-pu781RtumkJd

この例では、Schema Registry クラスター ID は schema-registry です。

次の Confluent CLI コマンドは、デフォルトのクラスター ID を持つ Schema Registry クラスターに対する DeveloperRead ロールを付与する方法を示しています。

confluent iam rbac role-binding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --schema-registry-cluster-id schema-registry \
  --kafka-cluster-id DCs16f7dN-pu781RtumkJd

Schema Registry クラスター ID は、schema-registry.properties ファイルにある schema.registry.group.id 構成設定です。デフォルト値は schema-registry です。ID を割り当てるには、confluent iam rbac role-binding create コマンドの schema-registry-cluster-id オプションを使用します。

スキーマが格納されている Kafka クラスターのクラスター ID を使用します。このクラスターは、kafkastore.boostrap.servers プロパティで構成されています。

kafkastore.boostrap.servers プロパティが設定されていない場合は、kafkastore.connection.url プロパティで構成された ZooKeeper を持つクラスターを使用します。詳細については、「シングルデータセンター構成」を参照してください。

注釈

kafkastore.connection.url は非推奨になっています。詳細については、「ZooKeeper のプライマリ選出から Kafka のプライマリ選出への移行」を参照してください。

Connect の例

Connect の場合、出力は以下のようになります。

confluent cluster describe --url http://localhost:8083
Scope:
       Type       |           ID
+-----------------+------------------------+
  connect-cluster | connect-cluster
  kafka-cluster   | DEk20b9rR-at315LMtcuUw

この例では、Connect クラスター ID は connect-cluster です。

次の Confluent CLI コマンドは、Connect クラスター connect-cluster に対する DeveloperRead ロールを付与する方法を示しています。

confluent iam rbac role-binding create \
  --principal User:<user-name> \
  --role DeveloperRead \
  --connect-cluster-id connect-cluster \
  --kafka-cluster-id DEk20b9rR-at315LMtcuUw

Connect クラスター ID は、ワーカーの構成ファイルの group.id 設定です。ID を割り当てるには、confluent iam rbac role-binding create コマンドの connect-cluster-id オプションを使用します。

コネクターの構成、ステータス、およびオフセット情報を格納する Kafka クラスターのクラスター ID を使用します。このクラスターは、bootstrap.servers プロパティを持つ Connect ワーカーファイルで構成されています。詳細については、「分散ワーカーの構成」を参照してください。

注釈

スタンドアロンモードで実行している場合、connect-cluster-id はすべて大文字の STANDALONE です。