RBAC および Kafka Connect のスタートガイド¶
RBAC はロールとロールマッピングを使用してさまざまなレベルのアクセスを提供し、プリンシパル(ユーザーまたは service principal)が Connect および Kafka で認証を行えるようにします。
参考
まず最初に、 自動化された RBAC の例 をお試しください。Confluent Platform における RBAC の機能を紹介しています。
Connect のロールマッピング¶
下の表は、RBAC の各ロールで許可されている Connect の操作の一覧です。
ロール [1] | Connect クラスターの登録 | コネクターの作成 | コネクター構成の読み取り | ステータスの読み取り | コネクターの一時停止/再起動 | コネクターのスケーリング | コネクターの構成 | アクセスの管理 | 削除 |
---|---|---|---|---|---|---|---|---|---|
SystemAdmin | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
UserAdmin | × | × | × | × | × | × | × | ○ | × |
ClusterAdmin | ○ | ○ | ○ | ○ | [2] | [2] | × | ○ | ○ |
Operator | × | × | × | ○ | ○ | ○ | ○ | × | × |
SecurityAdmin | × | × | × | × | × | × | × | × | × |
ResourceOwner | × | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
DeveloperRead | × | × | ○ | ○ | × | × | × | × | × |
DeveloperWrite | × | × | × | ○ | × | × | ○ | × | × |
DeveloperManage | × | ○ | × | ○ | ○ | ○ | × | × | × |
表に関する注:
[1] ロールに関する以下の追加情報を確認してください。
- 各ロールには、クラスターレベルのスコープまたはリソースレベルのスコープがあります。"○" は、操作が許可されていることを示します。ただし、ロールのスコープに限定されます。ロールのスコープの詳細については、「事前定義ロール」を参照してください。
- クラスターレベルのロール :
SystemAdmin
、UserAdmin
、ClusterAdmin
、Operator
、SecurityAdmin
- リソースレベルのロール :
ResourceOwner
、DeveloperRead
、DeveloperWrite
、DeveloperManage
- クラスターレベルのロール :
- コネクター構成の読み取り: "○" は、コネクターとタスクの両方の構成に対する読み取りのアクセスが許可されていることを示します。
- ステータスの読み取り: "○" は、タスクのステータスの読み取りのアクセスが許可されていることを示します。
- コネクターのスケーリング: "○" は、そのロールがタスクの数を変更できることを示します。
- コネクターの構成 : "○" は、そのロールがコネクターの構成パラメーターを変更できることを示します(ただし、
tasks.max
は除きます)。 - 削除 : "○" は、そのロールがコネクターおよび Connect クラスターの停止と削除ができることを示します。
[2] ○。ただし、通常、これは Operator ロールに委任されます。
Connect RBAC のワークフロー¶
Connect クラスターおよびコネクター用の RBAC を構成する場合の大まかなワークフローは次のとおりです。
- 必要な操作を実行できるロールが存在することを確認します。CLI を使用した、環境のロールとアクセス許可の一覧表示と情報表示の詳細については、「confluent iam」を参照してください。
- Connect クラスター 用の RBAC を構成します。
- Connect ワーカー 用の RBAC を構成します。
- コネクター 用の RBAC を構成します。
- 詳細については、「ロールバインディングのシーケンス」を参照してください。
- Connect REST API を使用してロールバインディングをセットアップする方法については、「REST API を使用した RBAC の構成」を参照してください。