Publié le: May 6, 2021
Aujourd'hui, nous vous présentons AWS Identity and Access Management (IAM) Access Control pour Amazon MSK. IAM Access Control est une option de sécurité offerte sans frais supplémentaire qui simplifie l'authentification de cluster et l'autorisation d'API Apache Kafka à l'aide de rôle IAM ou de stratégies utilisateur pour contrôler l'accès. Avec IAM Access Control, les clients n'ont plus à créer et exécuter des systèmes de gestion des accès ponctuels pour contrôler l'authentification des clients et l'autorisation pour Apache Kafka. D'autre part, les clusters MSK clusters sont sécurisés avec des autorisations de moindre privilège par défaut.
En quelques clics, les clients peuvent activer IAM Access Control lors de l'étape de création de cluster MSK. Par la suite, ils définissent les stratégies IAM pour les utilisateurs et les rôles pour contrôler les identités pouvant accéder un cluster MSK et contrôler les actions que peuvent effectuer ces clients sur les API Apache Kafka. Par exemple, les clients peuvent établir une stratégie IAM pour contrôler quels clients peuvent se connecter à des clusters et écrire sur ou lire depuis des rubriques Apache Kafka. Ainsi, ils n'ont plus à utiliser un système d'authentification ou d'autorisation peu familier uniquement pour Apache Kafka. Tous les clients doivent disposer d'une configuration avec la bibliothèque aws-msk-iam-auth de licence Apache 2.0 qui déduit et envoie les informations d'authentification IAM de façon sécurisée à MSK à l'aide de la signature des requêtes SigV4.
L'intégration de MSK à IAM prend en charge les fonctions de base de IAM dont les balises, les clés de conditions et le contrôle d'accès basé sur les rôles et les utilisateurs. Elle supporte également les fournisseurs d'identités externes y compris OpenID Connect pour l'authentification OAuthBearer. IAM Access Control consigne également les événements liés aux ressources Apache Kafka, dont la création de rubriques, l'ajout de partitions et les modifications de configuration de rubrique à AWS CloudTrail pour l'audit. IAM Access Control est disponible pour les nouveaux clusters MSK dans toutes les régions où MSK est proposé.
Pour commencer, consultez la documentation de l'utilisateur MSK.