Publicado en: May 6, 2021
Hoy anunciamos el control de acceso de AWS Identity and Access Management (IAM) para Amazon MSK. El control de acceso de IAM es una opción de seguridad que se ofrece sin costo adicional y simplifica la autenticación del clúster y la autorización de la API Apache Kafka mediante el rol de IAM o las políticas de usuario para el control de acceso. Al utilizar el control de acceso de IAM, los clientes ya no necesitan crear y ejecutar sistemas de administración de acceso único a fin de controlar la autorización y autenticación del cliente para Apache Kafka y los clústeres de MSK se protegen mediante permisos predeterminados de mínimo privilegio.
En unos pocos clics, los clientes pueden habilitar el control de acceso de IAM durante el paso de creación del clúster de MSK. A continuación, definen las políticas de IAM para los usuarios y los roles con el fin de controlar las identidades que pueden tener acceso a un clúster de MSK y controlar las acciones que estos clientes pueden llevar a cabo en las API de Apache Kafka. Por ejemplo, los clientes pueden escribir una política de IAM para controlar qué clientes se pueden conectar a los clústeres y para escribir o leer temas de Apache Kafka. Esto elimina la necesidad de utilizar un sistema de autorización o autenticación desconocido solo para Apache Kafka. Todos los clientes deben configurarse con la biblioteca con licencia de Apache 2.0 aws-msk-iam-auth que infiere y envía las credenciales de IAM de forma segura a MSK mediante la firma de solicitud SigV4.
La integración de MSK con IAM admite las características estándar de IAM, incluidas las etiquetas, claves de condición, usuario y control de acceso basado en el rol y soporte de los proveedores de identidad externos incluido OpenID Connect para la autenticación OAuthBearer. El control de acceso de IAM también registra eventos relacionados con los recursos de Apache Kafka, incluidos la creación de temas, el agregado de particiones y las modificaciones de configuración de temas en AWS CloudTrail para auditorías. El control de acceso de IAM se encuentra accesible para los clústeres de MSK nuevos en todas las regiones donde MSK está disponible.
Para comenzar, consulte la documentación de usuario de MSK.