4.12. 使用基于 OPA 策略的授权


开源策略代理(OPA)是一个开源策略引擎。您可以将 OPA 与 AMQ Streams 集成,作为基于策略的授权机制,允许在 Kafka 代理上进行客户端操作。

从客户端发出请求时,OPA 将根据为 Kafka 访问定义的策略评估请求,然后允许或拒绝请求。

注意

红帽不支持 OPA 服务器。

4.12.1. 定义 OPA 策略

在将 OPA 与 AMQ Streams 集成之前,请考虑如何定义策略以提供精细访问控制。

您可以为 Kafka 集群、消费者组和主题定义访问控制。例如,您可以定义一个授权策略,允许从制作者客户端写入到特定代理主题的访问。

因此,策略可能会指定:

  • 与制作者客户端关联的 用户主体 和主机地址
  • 客户端允许 的操作
  • 策略应用到的资源类型 (topic)和资源类型 名称

允许和拒绝决策写入策略中,并根据提供的请求和客户端识别数据提供响应。

在我们的示例中,制作者客户必须满足该策略才能写入该主题。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.