IAM 访问控制 - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 访问控制

Amazon MSK 的 IAM 访问控制让您能够处理 MSK 集群的身份验证和授权。这样就不需要使用一种身份验证机制和另一种授权机制。例如,当客户端尝试写入您的集群时,Amazon MSK 使用 IAM 来检查该客户端是否是经过身份验证的身份,以及是否有权向您的集群生成数据。IAM 访问控制适用于 Java 和非 Java 客户端,包括用 Python、 JavaScript Go 和 .NET 编写的 Kafka 客户端。对于 Kafka 版本 2.7.1 或更高版本的 MSK 集群提供了对非 Java 客户端的 IAM 访问控制。

Amazon MSK 会记录访问事件,以方便您进行审计。

为了能够进行 IAM 访问控制,Amazon MSK 对 Apache Kafka 源代码进行了少许修改。这些修改不会给您的 Apache Kafka 体验造成明显的影响。

重要

IAM 访问控制不适用于 Apache ZooKeeper 节点。有关如何控制对这些节点的访问权限的信息,请参阅 控制对 Amazon MSK ZooKeeper 集群中的 Apache 节点的访问

重要

如果您的集群使用 IAM 访问控制,则 allow.everyone.if.no.acl.found Apache Kafka 设置无效。

重要

您可以 APIs 为使用 IAM 访问控制的 MSK 集群调用 Apache Kafka ACL。但是,Apache Kafka 对 IAM 身份的授权 ACLs 没有影响。您必须将 IAM 策略用于 IAM 身份的访问控制。