IAM 访问控制

Amazon MSK 的 IAM 访问控制使您能够处理 MSK 集群的身份验证和授权。这样就不需要使用一种身份验证机制和另一种授权机制。例如，当客户端尝试写入您的集群时，Amazon MSK 使用 IAM 来检查该客户端是否是经过身份验证的身份，以及是否有权向您的集群生成数据。

Amazon MSK 会记录访问事件，以便您可以对其进行审计。有关更多信息，请参阅使用 Amazon CloudTrail 记录 API 调用：

为了使 IAM 访问控制成为可能，亚马逊 MSK 对 Apache Kafka 源代码进行了细微的修改。这些修改不会对你的 Apache Kafka 体验造成明显的差异。

重要

IAM 访问控制不适用于 Apache ZooKeeper 节点。有关如何控制对这些节点的访问的信息，请参阅控制对 Apache 的访问权限 ZooKeeper。

重要

如果您的集群使用 IAM 访问控制，则 Aallow.everyone.if.no.acl.found pache Kafka 设置无效。

重要

你可以为使用 IAM 访问控制的 MSK 集群调用 Apache Kafka ACL API。但是，存储在 Apache 中的 Apache Kafka ACL 对 IAM 角色的授权 ZooKeeper 没有影响。您必须使用 IAM 策略来控制 IAM 角色的访问。

亚马逊 MSK 的 IAM 访问控制的工作原理

要使用 Amazon MSK 的 IAM 访问控制，请执行以下步骤，本节其余部分将详细介绍这些步骤。

创建使用 IAM 访问控制的集群
将客户端配置为 IAM 访问控制
创建授权策略
获取用于IAM 访问控制的引导代理

创建使用 IAM 访问控制的集群

本部分介绍如何使用Amazon Web Services Management Console、API 或，创建使用 IAM 访问控制的集群。Amazon CLI有关如何对现有集群启用 IAM 访问控制的信息，请参阅更新集群的安全设置。

使用创建Amazon Web Services Management Console使用 IAM 访问控制的集群

在上打开亚马逊 MSK 控制台https://console.amazonaws.cn/msk/。
选择创建集群。
选择使用自定义设置创建集群。
在身份验证部分中，选择 IAM 访问控制。
完成创建集群的工作流程的剩余部分。

使用 API 或创建Amazon CLI使用 IAM 访问控制的集群

要创建启用了 IAM 访问控制的集群，请使用 CreateClusterAPI 或 c reate-cluster CLI 命令，然后为ClientAuthentication参数传递以下 JSON："ClientAuthentication": { "Sasl": { "Iam": { "Enabled": true } }。

将客户端配置为 IAM 访问控制

要使客户端能够与使用 IAM 访问控制的 MSK 集群通信，请按照以下步骤所述对其进行配置。

在client.properties文件中添加以下内容。<PATH_TO_TRUST_STORE_FILE>替换为客户端上信任存储文件的完全合格路径。

注意
如果您不想使用特定的证书，可以ssl.truststore.location=<PATH_TO_TRUST_STORE_FILE>从client.properties文件中删除。如果您不指定的值，则 Java 进程将使用默认证书。ssl.truststore.location
```
ssl.truststore.location=<PATH_TO_TRUST_STORE_FILE>
security.protocol=SASL_SSL
sasl.mechanism=AWS_MSK_IAM
sasl.jaas.config=software.amazon.msk.auth.iam.IAMLoginModule required;
sasl.client.callback.handler.class=software.amazon.msk.auth.iam.IAMClientCallbackHandler
```
要使用您为Amazon凭据创建的命名配置文件，请将其包含awsProfileName="your profile name";在您的客户端配置文件中。有关命名配置文件的信息，请参阅文档中的命名配置Amazon CLI文件。
下载最新的稳定 aws-msk-iam-authJAR 文件，并将其放在类路径中。如果您使用 Maven，请添加以下依赖关系，根据需要调整版本号：
```
<dependency>
    <groupId>software.amazon.msk</groupId>
    <artifactId>aws-msk-iam-auth</artifactId>
    <version>1.0.0</version>
</dependency>
```

Amazon MSK 客户端插件是在 Amazon 2.0 许可证下开源的。

创建授权策略

将授权策略附加到与客户端对应的 IAM 角色。在授权策略中，您可以指定允许或拒绝该角色的操作。如果您的客户在 Amazon EC2 实例上，请将授权策略与该 Amazon EC2 实例的 IAM 角色相关联。或者，您可以将客户端配置为使用命名配置文件，然后将授权策略与该命名配置文件的角色相关联。将客户端配置为 IAM 访问控制介绍如何将客户端配置为使用命名配置文件。

有关如何创建 IAM 策略的信息，请参阅创建 I AM policy。

以下是名为的集群的授权策略示例 MyTestCluster。要了解Action和Resource元素的语义，请参见动作和资源的语义。

重要

您对 IAM 策略所做的更改将Amazon CLI立即反映在 IAM API 中。但是，策略更改可能需要很长时间才能生效。在大多数情况下，政策更改会在不到一分钟的时间内生效。网络状况有时可能会增加延迟。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:Connect",
                "kafka-cluster:AlterCluster",
                "kafka-cluster:DescribeCluster"
            ],
            "Resource": [
                "arn:aws:kafka:us-east-1:0123456789012:cluster/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:*Topic*",
                "kafka-cluster:WriteData",
                "kafka-cluster:ReadData"
            ],
            "Resource": [
                "arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:AlterGroup",
                "kafka-cluster:DescribeGroup"
            ],
            "Resource": [
                "arn:aws:kafka:us-east-1:0123456789012:group/MyTestCluster/*"
            ]
        }
    ]
}

要了解如何使用与常见 Apache Kafka 用例（例如生成和使用数据）相对应的操作元素创建策略，请参阅常见用例。

获取用于IAM 访问控制的引导代理

请参阅获取一个 Amazon MSK 集群的引导代理存储。

动作和资源的语义

本部分说明可在 IAM 授权策略中使用的操作和资源元素的语义。有关策略示例，请参阅创建授权策略。

操作

下表列出了在使用 Amazon MSK 的 IAM 访问控制时可以在授权策略中包含的操作。在授权策略中包括表中 “操作” 列中的操作时，还必须包括 “必需操作” 列中的相应操作。

操作	描述	所需的操作	所需的资源	适用于无服务器集群
`kafka-cluster:Connect`	授予连接和验证集群的权限。	None（无）	集群	是
`kafka-cluster:DescribeCluster`	授予描述集群各个方面的权限，相当于 Apache Kafka 的 DESCRIBE CLUSTER ACL。	`kafka-cluster:Connect`	集群	是
`kafka-cluster:AlterCluster`	授予更改集群各个方面的权限，相当于 Apache Kafka 的 ALTER CLUSTER ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeCluster`	集群	否
`kafka-cluster:DescribeClusterDynamicConfiguration`	授予描述集群动态配置的权限，相当于 Apache Kafka 的 DESCRIBE_CONFIGS CLUSTER ACL。	`kafka-cluster:Connect`	集群	否
`kafka-cluster:AlterClusterDynamicConfiguration`	授予更改集群动态配置的权限，相当于 Apache Kafka 的 ALTER_CONFIGS CLUSTER ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration`	集群	否
`kafka-cluster:WriteDataIdempotently`	授予在集群上以幂等方式写入数据的权限，相当于 Apache Kafka 的 IDEMPOTENT_WRITE CLUSTER ACL。	`kafka-cluster:Connect` `kafka-cluster:WriteData`	集群	是
`kafka-cluster:CreateTopic`	授予在集群上创建主题的权限，相当于 Apache Kafka 的 CREATE CLUSTER/TOPIC ACL。	`kafka-cluster:Connect`	topic	是
`kafka-cluster:DescribeTopic`	授予描述集群上主题的权限，相当于 Apache Kafka 的 DESCRIBE TOPIC ACL。	`kafka-cluster:Connect`	topic	是
`kafka-cluster:AlterTopic`	授予更改集群上主题的权限，相当于 Apache Kafka 的 ALTER TER TER TOPIC ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topic	是
`kafka-cluster:DeleteTopic`	授予删除集群上主题的权限，相当于 Apache Kafka 的 DELETE TELETE TER ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topic	是
`kafka-cluster:DescribeTopicDynamicConfiguration`	授予描述集群上的主题动态配置的权限，相当于 Apache Kafka 的 DESCRIBE_CONFIGS TOPIC ACL。	`kafka-cluster:Connect`	topic	是
`kafka-cluster:AlterTopicDynamicConfiguration`	授予更改集群上的主题动态配置的权限，相当于 Apache Kafka 的 ALTER_CONFIGS TOPIC ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration`	topic	是
`kafka-cluster:ReadData`	授予从集群上主题中读取数据的权限，相当于 Apache Kafka 的 READ TOPIC ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:AlterGroup`	topic	是
`kafka-cluster:WriteData`	授予向集群上的主题写入数据的权限，相当于 Apache Kafka 的 WRITE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topic	是
`kafka-cluster:DescribeGroup`	授予描述集群上群组组的权限，相当于 Apache Kafka 的 DESCRIBE GROUP ACL。	`kafka-cluster:Connect`	group	是
`kafka-cluster:AlterGroup`	授予加入集群上群组的权限，相当于 Apache Kafka 的 READ GROUP ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	group	是
`kafka-cluster:DeleteGroup`	授予删除集群上群组组的权限，相当于 Apache Kafka 的 DELETE GROUP ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	group	是
`kafka-cluster:DescribeTransactionalId`	授予描述集群上的事务 ID 的权限，相当于 Apache Ka 的 DESCRIBE TRANSACTIONAL_ID	`kafka-cluster:Connect`	交易编号	是
`kafka-cluster:AlterTransactionalId`	授予更改集群上事务 ID 的权限，相当于 Apache Kafka 的 WRITE TRANSACTIONAL/ID ACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTransactionalId` `kafka-cluster:WriteData`	交易编号	是

您可以在操作中的冒号后面使用星号 (*) 通配符任意次数。示例如下。

kafka-cluster:*Topic代表kafka-cluster:CreateTopic、kafka-cluster:DescribeTopickafka-cluster:AlterTopic、和kafka-cluster:DeleteTopic。它不包括kafka-cluster:DescribeTopicDynamicConfiguration或kafka-cluster:AlterTopicDynamicConfiguration。
kafka-cluster:*代表所有权限。

资源

下表显示了在使用 Amazon MSK 的 IAM 访问控制时可以在授权策略中使用的四种类型的资源。您可以使用 DescribeClusterAPIAmazon Web Services Management Console 或 d escribe-clusterAmazon CLI 命令从或获取集群亚马逊资源名称 (ARN)。然后，您可以使用集群 ARN 来构造主题、群组和交易 ID ARN。要在授权策略中指定资源，请使用该资源的 ARN。

资源	ARN 格式
Cluster	`arn: aws: kafka: re g ion: account-id: cluster/ cluster-name/cluster-uid`
主题	`arn: aws: kafka: region: acco unt-id: topic/ cluster-name/cluster-uid/topic-name`
组	`arn: aws: kafka: region: ac count-id: group/ cluster-name/cluster-uid/group-name`
交易编号	`arn: aws: kafka: region: ac count-id: transactional-id/ cluster-name/cluster-uuid/transactional-`

在 ARN 中、、和之后的:cluster/部分，您可以任意多次使用星号 (*) 通配符:transactional-id/。:topic/:group/以下是一些示例，说明如何使用星号 (*) 通配符引用多个资源：

arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*：任何名为的集群中的所有主题 MyTestCluster，无论该集群的 UUID 如何。
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: 集群中名称以 “_test” 结尾的所有主题，其名称为 MyTestCluster 且 UUID 为 abcd1234-0123-abcd-5678-1234abcd-1。
arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1：所有交易 ID 为 5555abcd-1111-abcd-1234-abcd1234-1 的交易，涉及以你的账户命名的 MyTestCluster 集群的所有化身。这意味着，如果您创建一个名为 MyTestCluster的集群，然后将其删除，然后创建另一个同名集群，则可以使用此资源 ARN 表示两个集群上的相同事务 ID。但是，无法访问已删除的集群。

常见用例

下表中的第一列显示了一些常见用例。要授权客户执行给定用例，请在客户端的授权策略中包括该用例所需的操作，然后设置Effect为Allow。

有关作为 Amazon MSK IAM 访问控制一部分的所有操作的信息，请参阅动作和资源的语义。

注意

默认情况下，操作将被拒绝。您必须明确允许您要授权客户端执行的每项操作。

使用案例	所需的操作
管理员	`kafka-cluster:*`
创建主题	`kafka-cluster:Connect` `kafka-cluster:CreateTopic`
生成数据	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:WriteData`
消耗数据	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:DescribeGroup` `kafka-cluster:AlterGroup` `kafka-cluster:ReadData`
等同地生成数据	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:WriteData` `kafka-cluster:WriteDataIdempotently`
以交易方式生成数据	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:WriteData` `kafka-cluster:DescribeTransactionalId` `kafka-cluster:AlterTransactionalId`
描述集群的配置	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration`
更新集群的配置	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration` `kafka-cluster:AlterClusterDynamicConfiguration`
描述主题的配置	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration`
更新主题的配置	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration` `kafka-cluster:AlterTopicDynamicConfiguration`
更改主题	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:AlterTopic`

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Apache Kafka API 的身份验证和授权

双向 TLS 身份验证