Veröffentlicht am: May 6, 2021
Heute haben wir AWS Identity and Access Management (IAM) Access Control für Amazon MSK angekündigt. IAM Access Control ist eine Sicherheitsoption, die ohne zusätzliche Kosten angeboten wird und die Cluster-Authentifizierung und Apache Kafka-API-Autorisierung mithilfe von IAM-Rollen- oder Benutzerrichtlinien zur Zugriffskontrolle vereinfacht. Durch die Verwendung von IAM Access Control müssen Kunden keine einmaligen Zugriffsverwaltungssysteme mehr erstellen und ausführen, um die Client-Authentifizierung und -Autorisierung für Apache Kafka zu steuern, und MSK-Cluster werden standardmäßig nach dem Prinzip der geringsten Rechte gesichert.
Die Kunden haben während der Erstellung des MSK-Clusters die Möglichkeit, IAM Access Control mit wenigen Klicks zu aktivieren. Als Nächstes definieren sie IAM-Richtlinien für Benutzer und Rollen, um die Identitäten zu kontrollieren, die auf einen MSK-Cluster zugreifen dürfen, und die Aktionen zu steuern, die diese Clients auf Apache Kafka-APIs ausführen können. Beispielsweise können Kunden eine IAM-Richtlinie schreiben, um zu steuern, welche Clients sich mit Clustern verbinden und in Apache Kafka-Themen schreiben oder von ihnen lesen dürfen. So müssen sie kein ungewohntes Authentifizierungs- oder Autorisierungssystem nur für Apache Kafka verwenden. Alle Clients müssen mit der unter Apache 2.0 lizenzierten Bibliothek aws-msk-iam-auth konfiguriert werden, die IAM-Anmeldeinformationen ableitet und sicher an MSK sendet, indem sie SigV4-Anfragen signiert.
Die MSK-Integration mit IAM unterstützt Standard-IAM-Funktionen wie Tag, Bedingungsschlüssel, benutzer- und rollenbasierte Zugriffskontrolle sowie Unterstützung für externe Identitätsanbieter einschließlich OpenID Connect für OAuthBearer-Authentifizierung. Die IAM-Zugriffskontrolle protokolliert auch Ereignisse im Zusammenhang mit Apache Kafka-Ressourcen, einschließlich der Erstellung von Themen, dem Hinzufügen von Partitionen und Änderungen der Themenkonfiguration in AWS CloudTrail zur Überprüfung. IAM Access Control ist für neue MSK-Cluster in allen Regionen verfügbar, in denen MSK verfügbar ist.
Informationen zum Einstieg finden Sie in der MSK-Dokumentation.