在亞馬遜 MSK 上介紹 Apache 卡夫卡的 IAM 訪問控制
今天,我們宣布針對亞馬遜 MSK 的 AWS 身分與存取管理 (IAM) 存取控制。IAM 存取控制是一種不需額外費用提供的安全選項,可使用 IAM 角色或使用者原則來控制存取,簡化叢集驗證和 Apache Kafka API 授權。透過使用 IAM 存取控制,客戶不再需要建置和執行一次性存取管理系統來控制 Apache Kafka 的用戶端驗證和授權,而 MSK 叢集會預設使用最低權限的權限來保護。
只需點擊幾下,客戶就可以在 MSK 叢集建立步驟中啟用 IAM 存取控制。接下來,他們為使用者和角色定義 IAM 策略,以控制可能存取 MSK 叢集的身分,並控制這些用戶端可在 Apache Kafka API 上執行的動作。例如,客戶可以編寫 IAM 原則來控制哪些用戶端可以連線到叢集,以及寫入或從 Apache Kafka 主題讀取。這消除了僅針對 Apache Kafka 使用不熟悉的身份驗證或授權系統的需要。所有用戶端都需要配置 Apache 2.0 授權的 aws-msk-iam-auth 庫,該庫使用 SIGv4 請求簽署安全推斷並將 IAM 認證發送到 MSK。
MSK 與 IAM 的整合支援標準 IAM 功能,包括標籤、條件金鑰、使用者和基於角色的存取控制,以及支援外部身分提供者,包括 OpenID Connect 進行 OAuthBearer 驗證。IAM 存取控制也會記錄與 Apache Kafka 資源相關的事件,包括主題建立、新增分割區和主題組態修改至 AWS CloudTrail 以進行稽核。IAM 存取控制適用於 MSK 可用的所有區域的新 MSK 叢集。
請瀏覽 MSK 使用者文件以開始使用。