Представляем управление доступом IAM для Apache Kafka на Amazon MSK
Сегодня мы анонсировали управление доступом AWS Identity and Access Management (IAM) для Amazon MSK. IAM Access Control — это опция безопасности, предлагаемая без дополнительных затрат, которая упрощает кластерную аутентификацию и авторизацию API Apache Kafka с использованием роли IAM или пользовательских политик для управления доступом. Благодаря использованию IAM Access Control клиентам больше не нужно создавать и запускать одноразовые системы управления доступом для управления аутентификацией и авторизацией клиентов для Apache Kafka, а кластеры MSK по умолчанию защищены с помощью наименее привилегированных разрешений.
В несколько кликов клиенты могут включить контроль доступа IAM на этапе создания кластера MSK. Затем они определяют политики IAM для пользователей и ролей для управления идентификаторами, которые могут получить доступ к кластеру MSK, и управления действиями, которые эти клиенты могут выполнять с API-интерфейсами Apache Kafka. Например, клиенты могут написать политику IAM, определяющую, какие клиенты могут подключаться к кластерам, а также писать в разделы Apache Kafka или читать из них. Это избавляет от необходимости использовать незнакомую систему аутентификации или авторизации только для Apache Kafka. Для всех клиентов необходимо настроить лицензированную библиотеку aws-msk-iam-auth Apache 2.0, которая безопасно определяет и отправляет учетные данные IAM в MSK с помощью подписи запросов SiGv4.
Интеграция MSK с IAM поддерживает стандартные функции IAM, включая теги, ключи условий, управление доступом на основе пользователей и ролей, а также поддержку внешних поставщиков идентификационных данных, включая OpenID Connect для аутентификации OAuthBearer. IAM Access Control также регистрирует события, связанные с ресурсами Apache Kafka, включая создание тем, добавление разделов и изменение конфигурации тем в AWS CloudTrail для аудита. Контроль доступа IAM доступен для новых кластеров MSK во всех регионах, где доступно MSK.
Для начала ознакомьтесь с пользовательской документацией MSK.