发布于: May 6, 2021
今天,我们宣布推出适用于 Amazon MSK 的 AWS Identity and Access Management(IAM)访问控制。IAM 访问控制是一个免费的安全性选项,使用 IAM 角色或用户策略来控制访问权限,从而简化了集群身份验证和 Apache Kafka API 授权。借助 IAM 访问控制,客户不再需要构建和运行一次性的访问管理系统来控制 Apache Kafka 的客户端身份验证和授权,并且 MSK 集群将默认使用最低权限来保护安全。
只需几次点击,客户即可在 MSK 集群的创建步骤中启用 IAM 访问控制。然后,客户可为用户和角色定义 IAM 策略,从而控制有权访问该 MSK 集群的身份并控制这些客户端能够在 Apache Kafka API 上执行的操作。例如,客户可以编写一个 IAM 策略来控制哪些客户端能够连接到集群以及写入或读取 Apache Kafka 主题。从而无需专为 Apache Kafka 使用不熟悉的身份验证或授权系统。所有客户端都需要配置采用 Apache 2.0 许可证的 aws-msk-iam-auth 库,该库会进行推理并使用 SigV4 请求签名安全地将 IAM 凭证发送到 MSK。
MSK 与 IAM 的集成支持标准的 IAM 功能,包括标签、条件键和基于角色的访问控制,此外还支持外部身份提供商(包括 OpenID Connect for OAuthBearer 身份验证)。IAM 访问控制还会记录与 Apache Kafka 资源有关的事件,包括主题创建、分区添加和主题配置修改等,并将这些事件发送到 AWS CloudTrail 以供审计之用。IAM 访问控制可在所有提供 MSK 的区域的新 MSK 集群上使用。
要开始使用,请访问MSK 用户文档。