4.7.3. ACL ルールの追加
SimpleAclAuthorizer
は、ユーザーが実行できる/できない操作を記述するルールのセットを定義するアクセス制御リスト (ACL) を使用します。
この手順では、Kafka ブローカーで SimpleAclAuthorizer
プラグインを使用する場合に、ACL ルールを追加する方法を説明します。
ルールは kafka-acls.sh
ユーティリティーを使用して追加され、ZooKeeper に保存されます。
前提条件
- ブローカーとして使用されるすべてのホストに AMQ Streams がインストールされている。
- Kafka ブローカーで承認が 有効 である。
手順
--add
オプションを指定してkafka-acls.sh
を実行します。例:
MyConsumerGroup
コンシューマーグループを使用して、user1
およびuser2
のmyTopic
からの読み取りを許可します。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Read --topic myTopic --allow-principal User:user1 --allow-principal User:user2 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Describe --topic myTopic --allow-principal User:user1 --allow-principal User:user2 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Read --operation Describe --group MyConsumerGroup --allow-principal User:user1 --allow-principal User:user2
user1
が IP アドレスホスト127.0.0.1
からmyTopic
を読むためのアクセスを拒否します。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --operation Describe --operation Read --topic myTopic --group MyConsumerGroup --deny-principal User:user1 --deny-host 127.0.0.1
MyConsumerGroup
でmyTopic
のコンシューマーとしてuser1
を追加します。bin/kafka-acls.sh --authorizer-properties zookeeper.connect=zoo1.my-domain.com:2181 --add --consumer --topic myTopic --group MyConsumerGroup --allow-principal User:user1
関連情報
-
kafka-acls.sh
オプションの全一覧は、「シンプルな ACL オーソライザー」 を参照してください。