4.9. 暗号化と認証
AMQ Streams は暗号化および認証をサポートします。これらは、リスナー設定の一部として設定されます。
4.9.1. リスナーの設定
Kafka ブローカーの暗号化および認証は、リスナーごとに設定されます。Kafka リスナーの設定に関する詳細は、「リスナー」を参照してください。
Kafka ブローカーの各リスナーは、独自のセキュリティープロトコルで設定されます。設定プロパティー listener.security.protocol.map
は、どのリスナーがどのセキュリティープロトコルを使用するかを定義します。各リスナー名がセキュリティープロトコルにマッピングされます。サポートされるセキュリティープロトコルは次のとおりです。
PLAINTEXT
- 暗号化または認証を使用しないリスナー。
SSL
- TLS 暗号化を使用し、オプションとして TLS クライアント証明書による認証を使用するリスナー。
SASL_PLAINTEXT
- 暗号化は使用しないが、SASL ベースの認証を使用するリスナー。
SASL_SSL
- TLS ベースの暗号化および SASL ベースの認証を使用するリスナー。
以下の listeners
設定の場合、
listeners=INT1://:9092,INT2://:9093,REPLICATION://:9094
listener.security.protocol.map
は以下のようになります。
listener.security.protocol.map=INT1:SASL_PLAINTEXT,INT2:SASL_SSL,REPLICATION:SSL
これにより、リスナー INT1
は暗号化されていない接続および SASL 認証を使用し、リスナー INT2
は暗号化された接続および SASL 認証を使用し、REPLICATION
インターフェースは TLS による暗号化 (TLS クライアント認証が使用される可能性があり) を使用するように設定されます。同じセキュリティープロトコルを複数回使用できます。以下も、有効な設定の例です。
listener.security.protocol.map=INT1:SSL,INT2:SSL,REPLICATION:SSL
このような設定は、すべてのインターフェースに TLS による暗号化および TLS 認証を使用します。以下の章では、TLS および SASL の設定方法について詳しく説明します。