Amazon MSK 开启 Public 访问 SASL 配置的方法

原创 已于 2025-01-19 09:33:29 修改 · 1.6k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#aws #kafka
于 2025-01-19 09:25:09 首次发布

1. 开启 MSK Public

1.1 配置 MSK 参数

  1. 进入 MSK 控制台页面,点击左侧菜单 Cluster configuration。
  2. 选择已有配置,或者创建新配置。
  3. 在配置中添加参数
    allow.everyone.if.no.acl.found=false
  4. 修改集群配置,选择到新添加的配置。
    在这里插入图片描述

1.2 开启 Public

  1. 选中集群,进入集群配置页面,选择 Properties
  2. 找到 Networking settings,点击 Edit 菜单。
  3. 选择 Edit public access
    在这里插入图片描述

2. 注意事项

由于 MSK 开启 Public 访问,必须要开启 SASL/IAM 认证方式。而 Amazon MSK 默认 allow.everyone.if.no.acl.found=true,所有用户都可以拥有权限,因为 MSK 没有 super user,但是当将 MSK 开启 public 之后,这个参数必须设置为 false。因此,如果当集群还未配置任何用户权限的情况下,将 allow.everyone.if.no.acl.found 设置为 false,会无法使用任何用户来访问 MSK。

3. 启用 SASL 后的解决方案

  1. 先创建 MSK 集群,开启 SASL 认证,通过 Secrets Manager,配置用户名密码,然后绑定到 MSK 集群,不启用 Public 访问。 具体的配置方法,可以参考 MSK Lab Workshop
  2. MSK 集群启动后,按如下命令配置用户权限。
# 设置 MSK Cluster bostrap
export brokerssasl=xxxx:9096,xxxx:9096,xxxx:9096

# 生成用户认证文件
echo -n "security.protocol=SASL_SSL
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \\
  username="<username>" \\
  password="<password>";
" > /tmp/client.properties_<username>```

# 给用户赋权
bin/kafka-acls.sh --bootstrap-server $brokerssasl \
        --add --allow-principal User:<username> --operation All --cluster '*' \
        --command-config /tmp/client.properties_<username>
        
        
bin/kafka-acls.sh --bootstrap-server $brokerssasl \
        --add --allow-principal User:<username> --operation All --group '*' \
        --command-config /tmp/client.properties_<username>```

--add --allow-principal User:<username> --operation All --cluster '*'没有包含消费者组权限,因此,还需要单独再给用户赋予组权限

  1. 集群修改配置,添加 allow.everyone.if.no.acl.found=false, 然后启用 Public
  2. 通过 public host 验证用户访问
# 设置 MSK Cluster bostrap
export brokerssasl=xxxx:9096,xxxx:9096,xxxx:9096

# list
bin/kafka-topics.sh --list --bootstrap-server $brokerssasl --command-config /tmp/client.properties_<username>

# consumer
$KAFKA_HOME/bin/kafka-console-consumer.sh --bootstrap-server $brokerssasl --group group01 --topic test_topic --consumer.config --command-config /tmp/client.properties_<username>
AWS MSK集群认证和加密传输的属性与配置
Laurence的技术博客
07-13 2127
通常,身份认证和加密传输是两项不相关的安全配置,在Kafka/MSK上,身份认证和加密传输是有一些耦合关系的,重点是:对于MSK来说,当启用IAM, SASL/SCRAM以及TLS三种认证方式时,TLS加密传输是必须的!只有设置为Unauthenticated(无认证)时,TLS加密才是可选的,但如果不显示配置PLAINTEXT的话,默认也是启用TLS加密的。本文地址:https://laurence.blog.csdn.net/article/details/131696373,转载请注明出处!
aws-msk-托管kafka集群的简单使用(VPC内部访问:无验证和SASL认证)
大鹅的博客
09-08 1628
可以看到我1会话使用的无验证方式,产生消息(只支持vpc下开启)测试效果打开2个会话(新会话需要重新声明环境变量)2会话窗口使用sasl验证连接集群,消费消息。上述的端点地址:在控制台客户端信息查看。1.创建topic 2.生产 3.消费。测试连接集群和操作集群。
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 5871
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
开启kafka密码认证
热门推荐
雅冰石的专栏
04-02 2万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSL和SASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
34 | 云环境下的授权该怎么做?
吉衣の秋先生的博客
06-13 1412
授权机制
kafka 0.10.2.2配置acl
catcher92的博客
02-14 575
接上文配置kerberos之后继续配置acl。 server.properties添加如下内容 #acl allow.everyone.if.no.acl.found=false super.users=User:kafka authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer 重启kafka集群。 授权catcher...
kafka身份认证 maxwell_学会使用Kafka(十二)Kafka认证与授权
weixin_39844267的博客
12-22 775
Kafka的认证机制概述GSSAPI:使用的Kerberos认证,可以集成目录服务,比如AD。Kafka最小版本 0.9PLAIN:使用简单用户名和密码形式,Kafka最小版本 0.10SCRAM:主要解决PLAIN动态更新问题以及安全机制,Kafka最小版本 0.10.2OAUTHBEARER:基于OAuth 2认证框架,Kafka最小版本 2.0配置SASL\PLAIN创建kafka_serv...
Kafka ACL使用实战
weixin_34252686的博客
08-17 776
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL...
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-24 3871
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
kafak集群部署配置,开启SASL_PLAINTEXT认证以及acl权限控制
weixin_40648117的博客
04-15 962
SASL_PLAINTEXT认证 本人认为就是consumer连接broker开启了用户名,密码认证 acl权限控制 就是指针对用户 配置拥有哪些操作权限,如 topic的读,写,group的读,topic的创建,删除,等等都是可控制的权限 server.properties配置 # Licensed to the Apache Software Foundation (ASF) under one or more # contributor license agreements. See the NO
Kafka ACLSASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 3413
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
AWS云上MSK集群加密方式和问控制连接方式的实践
zhaojiew的学习笔记
05-25 2005
MSK加密与访问控制摘要 MSK提供两种加密方式:静态加密(EncryptionAtRest)和传输加密(EncryptionInTransit)。创建集群时可指定加密参数,包括KMS密钥ARN和传输层加密配置MSK支持多种访问控制组合,包括未认证(Unauthenticated)、mTLS、SASL/SCRAM和SASL/IAM,不同认证方式对应不同的加密选项。集群提供多种终端节点(9092/9094/9096/9098端口)分别对应不同协议。测试连接时需注意TLS配置,包括证书位置(client.pr
kafka acl权限控制
十色花的博客
06-30 4352
1.对应的broken添加acl权限vim serve.properties末尾添加:allow.everyone.if.no.acl.found=trueauthorizer.class.name = kafka.security.auth.SimpleAclAuthorizersuper.users=User:root2.开启(关闭)kafkabrokerkafka-server-start....
关于AWS MSK Connector Execution Role的解释
Laurence的技术博客
07-14 1637
尽管在创建AWS MSK Connector时,Execution Role是一个必填项,就像下面这样:并且在官方文档中给出的Execution Role样例中也往往都会配置针对某一个MSK集群的操作权限。这会给人带来一个误解,那就是这会让人误以为:MSK Connector必须要配置针对某一个MSK集群
AWS MSK 跨 AZ 流量费用不菲,我们选择自建 Kakfa
思竞的博客
10-28 641
本文介绍了使用自建 Kafka 集群替换 AWS MSK 服务的简要流程,这一方案的实施有效降低了云服务的资源成本,当然也带来了维护成本增加等问题,这绝对不是最好的方案,甚至不是最合适的方案,但它一定是个好的起点。
解决Kafka3.4版本授权认证失效的问题
c2978663496的博客
09-01 1372
Kafka版本:3.4.1授权认证方式:SASL Plaintext。
AWS IoT Core与MSK集成实战:打造高可靠实时IoT数据管道
最新发布
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
05-09 760
在物联网快速发展的今天,如何高效、安全地处理海量设备数据成为企业面临的一大挑战。本文将带您深入探索AWS IoT Core与Amazon MSK(Managed Streaming for Apache Kafka)的集成方案,手把手教您搭建一个可靠、可扩展的实时IoT数据处理管道。无论您是IoT开发者、大数据工程师还是云架构师,都能从中获得实用的技术洞察和最佳实践。
亚马逊云科技Amazon MSK基于S3云服务器实现导出导入、备份还原、迁移方案
y130612的博客
12-29 1447
首先,使用kafka-console-consumer.sh监控source-topic-1和sink-topic-1两个Topic,然后使用脚本向source-topic-1持续写入数据,如果在sink-topic-1看到了相同的数据输出,就说明数据成功地从source-topic-1导出然后又导入到了sink-topic-1中,相应的,在S3存储桶中也能看到“沉淀”的数据文件。回到操作流程,登录准备好的EC2实例,修改下面脚本中与账号和环境相关的前6项配置,然后执行修改后的脚本。
Amazon MSK 基于 S3 的数据导出、导入、备份、还原、迁移方案
亚马逊云科技专栏
11-07 828
Amazon MSKAmazon Managed Streaming for Apache Kafka)是 Amazon 云平台提供的托管 Kafka 服务。在系统升级或迁移时,用户常常需要将一个 Amazon MSK 集群中的数据导出(备份),然后在新集群或另一个集群中再将数据导入(还原)。通常,Kafka 集群间的数据复制和同步多采用 Kafka MirrorMaker,但是,在某些场景中,...
kafka topic acl授权
刘光华的专栏
10-16 1万+
在前一篇,kafka启用认证(http://blog.csdn.net/zhoudetiankong/article/details/78229416)的基础上,来说明kafka topic的acl权限。1.修改server.propertiesauthorizer.class.name = kafka.security.auth.SimpleAclAuthorizer#设置超级用户 super.u
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值