4.12. 使用基于 OPA 策略的授权
开源策略代理(OPA)是一个开源策略引擎。您可以将 OPA 与 AMQ Streams 集成,作为基于策略的授权机制,允许在 Kafka 代理上进行客户端操作。
从客户端发出请求时,OPA 将根据为 Kafka 访问定义的策略评估请求,然后允许或拒绝请求。
注意
红帽不支持 OPA 服务器。
其它资源
4.12.1. 定义 OPA 策略
在将 OPA 与 AMQ Streams 集成之前,请考虑如何定义策略以提供精细访问控制。
您可以为 Kafka 集群、消费者组和主题定义访问控制。例如,您可以定义一个授权策略,允许从制作者客户端写入到特定代理主题的访问。
因此,策略可能会指定:
- 与制作者客户端关联的 用户主体 和主机地址
- 客户端允许 的操作
-
策略应用到的资源类型 (
topic
)和资源类型 名称
允许和拒绝决策写入策略中,并根据提供的请求和客户端识别数据提供响应。
在我们的示例中,制作者客户必须满足该策略才能写入该主题。