Ti presentiamo IAM Access Control per Apache Kafka su Amazon MSK
Oggi abbiamo annunciato il controllo degli accessi di AWS Identity and Access Management (IAM) per Amazon MSK. IAM Access Control è un'opzione di sicurezza offerta senza costi aggiuntivi che semplifica l'autenticazione del cluster e l'autorizzazione dell'API Apache Kafka utilizzando i ruoli IAM o le policy utente per controllare l'accesso. Utilizzando IAM Access Control, i clienti non devono più creare ed eseguire sistemi di gestione degli accessi una tantum per controllare l'autenticazione e l'autorizzazione dei client per Apache Kafka e i cluster MSK sono protetti utilizzando le autorizzazioni meno privilegiate per impostazione predefinita.
In pochi clic, i clienti possono abilitare IAM Access Control durante la fase di creazione del cluster MSK. Successivamente, definiscono le policy IAM per utenti e ruoli per controllare le identità che possono accedere a un cluster MSK e controllare le azioni che questi client possono intraprendere sulle API Apache Kafka. Ad esempio, i clienti possono scrivere una policy IAM per controllare quali client possono connettersi ai cluster e scrivere o leggere argomenti di Apache Kafka. Ciò elimina la necessità di utilizzare un sistema di autenticazione o autorizzazione sconosciuto solo per Apache Kafka. Tutti i client devono essere configurati con la libreria aws-msk-iam-auth con licenza Apache 2.0 che deduce e invia le credenziali IAM in modo sicuro a MSK utilizzando la firma delle richieste SigV4.
L'integrazione di MSK con IAM supporta le funzionalità IAM standard tra cui tag, chiavi di condizione, controllo degli accessi basato su utenti e ruoli e supporto per provider di identità esterni, tra cui OpenID Connect per l'autenticazione OAuthBearer. IAM Access Control registra anche gli eventi relativi alle risorse di Apache Kafka, tra cui la creazione di argomenti, l'aggiunta di partizioni e le modifiche alla configurazione degli argomenti in AWS CloudTrail per il controllo. IAM Access Control è disponibile per i nuovi cluster MSK in tutte le regioni in cui MSK è disponibile.
Per iniziare, consulta la documentazione per l'utente di MSK.