IAM アクセスコントロール - Amazon Managed Streaming for Apache Kafka

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アクセスコントロール

Amazon MSK の IAM アクセス制御により、MSK クラスターの認証と認可の両方を処理できます。これにより、認証に 1 つのメカニズムを使用し、認可に別のメカニズムを使用する必要がなくなります。たとえば、クライアントがクラスターへの書き込みを試みると、Amazon MSK は IAM を使用して、そのクライアントが認証済みアイデンティティであるかどうか、およびクラスターへの作成が認可されているかどうかをチェックします。

IAM アクセスコントロールは Java クライアントと Java 以外のクライアント (Python、Go、JavaScript、.NET で記述された Kafka クライアントを含む) で機能します。Java 以外のクライアントの IAM アクセスコントロールは、Kafka バージョン 2.7.1 以降の MSK クラスターで使用できます。

IAM アクセス制御を可能にするために、Amazon MSK は Apache Kafka ソースコードに小さな変更を加えます。これらの変更によって、Apache Kafka のエクスペリエンスに目立った違いが生じることはありません。Amazon MSK はアクセスイベントをログに記録するため、それらを監査できます。

IAM アクセス制御を使用する MSK クラスターの Apache Kafka ACL API を呼び出すことができます。ただし、Apache Kafka ACLs は IAM ID の認可には影響しません。IAM ID へのアクセスを制御するには、IAM ポリシーを使用する必要があります。

重要な考慮事項

MSK クラスターで IAM アクセスコントロールを使用する場合は、次の重要な考慮事項に注意してください。

  • IAM アクセス制御は Apache ZooKeeper ノードには適用されません。これらのノードへのアクセスを制御する方法については、「Amazon MSK クラスター内の Apache ZooKeeper ノードへのアクセスを制御する」を参照してください。

  • クラスターが IAM アクセス制御を使用している場合、allow.everyone.if.no.acl.found Apache Kafka 設定は効果がありません。

  • IAM アクセス制御を使用する MSK クラスターの Apache Kafka ACL API を呼び出すことができます。ただし、Apache Kafka ACLs は IAM ID の認可には影響しません。IAM ID へのアクセスを制御するには、IAM ポリシーを使用する必要があります。