投稿日: May 6, 2021
本日、Amazon MSK 向けの AWS Identity and Access Management (IAM) アクセスコントロールを発表しました。IAM アクセスコントロールは、追加費用なしで提供するセキュリティオプションです。IAM ロールやユーザーポリシーを使用してアクセスを制御することで、クラスター認証と Apache Kafka API 承認を簡素化します。IAM アクセスコントロールを使用すれば、Apache Kafka のクライアント認証と承認を制御するために 1 回限りのアクセス管理システムを構築して実行する必要がなくなります。また、デフォルトでの最小の特権を使用して、MSK クラスターが保護されます。
数回のクリックで、MSK クラスターの作成のステップで IAM アクセスコントロールを有効にできます。次に、ユーザーとロールの IAM ポリシーを定義して、MSK クラスターにアクセスする可能性のある ID を制御し、これらのクライアントが Apache Kafka API で実行できるアクションを制御します。たとえば、IAM ポリシーを記述して、クラスターに接続できるクライアントを制御したり、Apache Kafka トピックへの書き込みや Apache Kafka トピックからの読み取りを行うことができます。これにより、Apache Kafka の馴染みのない認証や承認システムを使用する必要がなくなります。すべてのクライアントには、Apache 2.0 ライセンスの aws-msk-iam-auth ライブラリが設定されている必要があります。このライブラリは、SigV4 リクエスト署名を使用して IAM 認証情報を推測し MSK に安全に送信します。
MSK と IAM の統合は、タグ、条件キー、ユーザー、ロールベースのアクセスコントロールなどの IAM の標準機能をサポートし、OAuthBearer 認証用の OpenID Connect を含む外部の ID プロバイダーにも対応しています。また、IAM アクセスコントロールは、トピックの作成、パーティションの追加、トピック設定の変更など、Apache Kafka リソースに関連するイベントを監査用に AWS CloudTrail にログ記録します。IAM アクセスコントロールは、MSK が利用可能なすべてのリージョンの新しい MSK クラスターで利用できます。
使用を開始するには、MSK ユーザードキュメント をご覧ください。