4.5.3. 在 Red Hat Single Sign-On Authorization Services 中管理策略和权限
本节论述了 Red Hat Single Sign-On Authorization Services 和 Kafka 使用的授权模型,并定义了每个模型中的重要概念。
要授予访问 Kafka 的权限,您可以通过在 Red Hat Single Sign-On Sign-On 登陆到 Red Hat Single Sign-On 中创建 OAuth 客户端规格 将 Red Hat Single Sign-On Authorization Services 对象映射到 Kafka 资源。使用 Red Hat Single Sign-On Authorization Services 规则为用户帐户或服务帐户授予 Kafka 权限。
显示了 常见 Kafka 操作所需的不同用户权限,如创建和列出主题。
4.5.3.1. Kafka 和红帽单点登录授权模型概述
Kafka 和红帽单点登录授权服务使用不同的授权模型。
Kafka 授权模型
Kafka 的授权模型使用 资源类型。当 Kafka 客户端对代理执行操作时,代理使用配置的 KeycloakRBACAuthorizer 检查客户端的权限,具体取决于操作和资源类型。
Kafka 使用五个资源类型来控制访问: Topic、group、 Cluster、transactionalId 和 DelegationToken。每一资源类型具有一组可用权限。
主题
-
create -
写 -
读 -
删除 -
describe -
DescribeConfigs -
更改 -
AlterConfigs
组
-
读 -
describe -
删除
Cluster
-
create -
describe -
更改 -
DescribeConfigs -
AlterConfigs -
IdempotentWrite -
ClusterAction
TransactionalId
-
describe -
写
DelegationToken
-
describe
Red Hat Single Sign-On Authorization Services 模型
红帽单点登录授权服务模型具有四个概念,用于定义和授予权限: 资源、授权范围、 策略 和权限。
- 资源
- 资源是一组资源定义,用于将资源与允许的操作匹配。例如,资源可以是单独的主题,或者名称以同一前缀开头的所有主题。资源定义与一组可用的授权范围相关联,后者代表一组资源上可用的所有操作。通常,只有一部分操作实际被允许。
- 授权范围
- 授权范围是针对特定资源定义的一组所有可用操作。当您定义新资源时,您可以添加所有范围集中的范围。
- 策略(policy)
策略是使用条件与帐户列表匹配的授权规则。策略可以匹配:
- 基于 客户端 ID 或角色的服务帐户
- 基于用户名、组或角色的用户帐户。
- 权限
- 权限将特定资源定义的一组授权范围授予一组用户。
其它资源
