Control de acceso de IAM - Transmisión administrada de Amazon para Apache Kafka

Control de acceso de IAM

El control de acceso de IAM para Amazon MSK le permite gestionar tanto la autenticación como la autorización de su clúster de MSK. Esto elimina la necesidad de utilizar un mecanismo de autenticación y otro mecanismo de autorización. Por ejemplo, cuando un cliente intenta escribir en su clúster, Amazon MSK utiliza IAM para verificar si el cliente es una identidad autenticada y si está autorizado para producir en su clúster.

El control de acceso de IAM funciona tanto para clientes de Java como para aquellos que no son de Java, incluidos los clientes de Kafka escritos en Python, Go, JavaScript y .NET. El control de acceso mediante IAM para clientes que no son Java está disponible para clústeres de MSK con la versión 2.7.1 de Kafka o posterior.

Para hacer posible el control de acceso de IAM, Amazon MSK realiza pequeñas modificaciones en el código fuente de Apache Kafka. Estas modificaciones no supondrán una diferencia notable en su experiencia con Apache Kafka. Amazon MSK registra los eventos de acceso para que pueda auditarlos.

Puede invocar las API de ACL de Apache Kafka para un clúster de MSK que utilice el control de acceso de IAM. Sin embargo, las ACL de Apache Kafka no tienen ningún efecto sobre la autorización de identidades de IAM. Debe utilizar políticas de IAM para controlar el acceso de las identidades de IAM.

Consideraciones importantes

Cuando utilice el control de acceso mediante IAM con el clúster de MSK, tenga en cuenta las siguientes consideraciones importantes:

  • El control de acceso de IAM no se aplica a los nodos de Apache ZooKeeper. Para obtener más información sobre cómo puede controlar el acceso a estos nodos, consulte Control del acceso a los nodos de Apache ZooKeeper en su clúster de Amazon MSK.

  • La configuración allow.everyone.if.no.acl.found de Apache Kafka no tiene efecto si el clúster utiliza el control de acceso de IAM.

  • Puede invocar las API de ACL de Apache Kafka para un clúster de MSK que utilice el control de acceso de IAM. Sin embargo, las ACL de Apache Kafka no tienen ningún efecto sobre la autorización de identidades de IAM. Debe utilizar políticas de IAM para controlar el acceso de las identidades de IAM.