サポートされている操作と Schema Registry リソース¶
Schema Registry セキュリティプラグインにより、Kafka トピックに対応する サブジェクト 用のスキーマに対する操作の認可を行うことができます。
サポートされている操作および対応する Schema Registry URI はこのページに記載されています。これらは、role-based access control (RBAC) と ACL による認可の両方に適用されます。
ちなみに
RBAC と ACL の両方を組み合わせて使用することも、個別に使用することもできます。どちらのアクセス制御方法にも、それぞれの長所とユースケースがあります。詳細については、「RBAC の概要」の「RBAC と ACL」を参照してください。
サポートされる操作¶
Schema Registry の操作 | リソース |
---|---|
SUBJECT_READ |
|
SUBJECT_WRITE |
|
SUBJECT_DELETE |
|
SCHEMA_READ |
|
SUBJECT_COMPATIBILITY_READ |
|
SUBJECT_COMPATIBILITY_WRITE |
|
GLOBAL_COMPATIBILITY_READ |
|
GLOBAL_COMPATIBILITY_WRITE |
|
GLOBAL_READ |
|
これらの操作の詳細については、「Schema Registry API」を参照してください。
ACL セットアップの例¶
Schema Registry ACL 構成に対する "汎用的な" 推奨事項とは意味をなさないものですが、デプロイを計画する際の参考にできる例はありますので、以下に示します。
- 寛容なセットアップでは、ANONYMOUS を含むすべてのクライアントに対してすべての READ-ACL を提供できます。Need-to-Know の原則をより厳密に遵守する場合は、READ 操作を制限することもできます。
- 自律型チームは、すべての SUBJECT ACL(READ、WRITE、DELETE、COMPATIBILTY_WRITE、COMPATIBILTY_READ)を必要とします。正確な構成は、チームの自律性や Schema Registry に対する必要な制御レベルに依存します。CD/CI システムは、すべての関連サブジェクトに対して同じ ACL を持ちます。
- 管理チームには、
GLOBAL_
ACL を追加でセットアップできます。
ACL の定義の詳細については、「Schema Registry ACL オーソライザー」を参照してください。