ホーム
製品
Red Hat AMQ
2021.Q3
AMQ Streams on OpenShift の使用
4.3.2. Kafka へのユーザーアクセスのセキュア化

4.3.2. Kafka へのユーザーアクセスのセキュア化

KafkaUser リソースのプロパティーを使用して Kafka ユーザーを設定します。

oc apply を使用すると、ユーザーを作成または編集できます。oc delete を使用すると、既存のユーザーを削除できます。

以下は例になります。

oc apply -f USER-CONFIG-FILE
oc delete KafkaUser USER-NAME

KafkaUser 認証および承認メカニズムを設定する場合、必ず同等の Kafka 設定と一致するようにしてください。

KafkaUser.spec.authentication は Kafka.spec.kafka.listeners[*].authentication と一致します。
KafkaUser.spec.authorization は Kafka.spec.kafka.authorization と一致します。

この手順では、TLS 認証でユーザーを作成する方法を説明します。SCRAM-SHA 認証でユーザーを作成することも可能です。

必要な認証は、Kafka ブローカーリスナーに設定された認証のタイプによって異なります。

注記

Kafka ユーザーと Kafka ブローカー間の認証は、それぞれの認証設定によって異なります。たとえば、TLS が Kafka 設定で有効になっていない場合は、TLS でユーザーを認証できません。

前提条件

TLS による認証および暗号化を使用して Kafka ブローカーリスナーで設定された稼働中の Kafka クラスターが必要です。
稼働中の User Operator (通常は Entity Operator でデプロイされる) が必要です。

KafkaUser の認証タイプは、Kafka ブローカーに設定された認証と一致する必要があります。

手順

KafkaUser リソースを設定します。

以下は例になります。

apiVersion: kafka.strimzi.io/v1beta2
kind: KafkaUser
metadata:
  name: my-user
  labels:
    strimzi.io/cluster: my-cluster
spec:
  authentication: 
    type: tls
  authorization:
    type: simple 
    acls:
      - resource:
          type: topic
          name: my-topic
          patternType: literal
        operation: Read
      - resource:
          type: topic
          name: my-topic
          patternType: literal
        operation: Describe
      - resource:
          type: group
          name: my-group
          patternType: literal
        operation: Read

apiVersion: kafka.strimzi.io/v1beta2
kind: KafkaUser
metadata:
  name: my-user
  labels:
    strimzi.io/cluster: my-cluster
spec:
  authentication:


    type: tls
  authorization:
    type: simple


    acls:
      - resource:
          type: topic
          name: my-topic
          patternType: literal
        operation: Read
      - resource:
          type: topic
          name: my-topic
          patternType: literal
        operation: Describe
      - resource:
          type: group
          name: my-group
          patternType: literal
        operation: Read

Copy to Clipboard

Toggle word wrap

1: 相互 tls または scram-sha-512 として定義されたユーザー認証メカニズム。
2: ACL ルールのリストが必要な簡易承認。

KafkaUser リソースを作成または更新します。
```
oc apply -f USER-CONFIG-FILE
```
```
oc apply -f USER-CONFIG-FILE
```
Copy to Clipboard Toggle word wrap
KafkaUser リソースと同じ名前の Secret と共に、ユーザーが作成されます。Secret には、TLS クライアント認証の秘密鍵と公開鍵が含まれます。

Kafka ブローカーへの接続をセキュアにするために Kafka クライアントをプロパティーで設定する詳細は『Deploying and Upgrading AMQ Streams on OpenShift』の「Setting up access for clients outside of OpenShift」を参照してください。

トップに戻る

4.3.2. Kafka へのユーザーアクセスのセキュア化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links