云消息队列 Confluent 版实例的LDAP用户账号需要在控制台创建,经过授权后才能正常使用,本文为您介绍如何添加用户和授权。
用户管理
云消息队列 Confluent 版支持在控制台添加和删除用户。
添加用户
登录云消息队列 Confluent 版控制台,在左侧导航栏,单击实例列表。
在实例列表页面,单击目标实例名称。
在实例详情页面,单击左侧操作栏的用户管理。
在用户管理页面,单击添加LDAP用户。
在添加LDAP用户对话框,设置用户名称、密码并确认密码,单击确定。
重要反复添加同一个名称的用户,只有第一次会添加成功,后面添加的都不会生效。
删除用户
在用户名右侧的操作列,单击删除。
在系统提示对话框,阅读提示内容,单击确定。
重要删除用户后,用户的所有权限将被移除,该用户将无法使用该实例。
授权
在云消息队列 Confluent 版控制台创建用户后,可以为该用户进行授权操作,授权方式有以下两种:
ACL授权:即访问控制列表(Access Control Lists),是一种基于权限进行授权的机制,具有较为细致的授权粒度。
RBAC授权:即基于角色的访问控制(Role Based Access Control),通过角色进行授权,适用于批量授权及权限回收的场景。
ACL授权
推荐使用Confluent CLI实现ACL授权。具体操作,请参见使用Confluent CLI进行管理ACL。
RBAC授权
RBAC授权主要有两种方式:
使用云消息队列 Confluent 版的Control Center完成RBAC授权。本文详细介绍这一授权方式。
使用Confluent CLI完成RBAC授权。具体操作,请参见使用Confluent CLI管理RBAC权限。
登录云消息队列 Confluent 版控制台,在左侧导航栏,单击实例列表。
在实例列表页面,单击目标实例名称。
在实例详情页面,单击右上角的登录控制台,在登录页面,输入用户名和密码登录进入Control Center控制台的Home页面。
在Home页面右上角选择
> Manage role assignments,进入RBAC授权页面。进入授权页面,可以看到Confluent内置的10个不同的Role。
重要暂不支持新建Role,只能选择Confluent内置的Role进行授权。
单击Assignments,然后单击需要授权的Cluster ID。
根据不同的Cluster type授予用户不同的权限。
Kafka cluster
单击Kafka cluster的Cluster ID,根据需要授权的资源(Cluster、Group、Topic和TransactionId)进行相应授权操作。本示例以为用户
test授予前缀为demo的Topic角色ResourceOwner进行说明。
单击Add role assignment进入授权详情页,按照下图所示完成配置,最后单击Save。
Connect cluster
单击Connect cluster的Cluster ID,根据需要授权的资源(Cluster、Connector)进行相应授权操作。本示例以为用户
test授予Cluster的角色ClusterAdmin进行说明。
单击Add role assignment进入授权详情页,按照下图所示完成配置,最后单击Save。
KSQL
单击KSQL的Cluster ID,根据需要授权的资源(Cluster)进行相应授权操作。本示例以为用户
test授予Cluster的角色ResourceOwner进行说明。
单击Add role assignment进入授权详情页,按照下图所示完成配置,最后单击Save。
Schema Registry
单击Schema Registry的Cluster ID,根据需要授权的资源(Cluster、Subject)进行相应授权操作。本示例以为用户
test授予Subject所有资源的角色ResourceOwner进行说明。
单击Add role assignment进入授权详情页,按照下图所示完成配置,最后单击Save。
