AI 助理
备案控制台
文档
输入文档关键字查找
首页 云消息队列 Kafka 版 云消息队列 Kafka 版 开发参考 Terraform 通过 Terraform 管理SASL用户

通过 Terraform 管理SASL用户

更新时间:
产品详情
我的收藏

云消息队列 Kafka 版实例的默认SASL用户仅提供身份校验,支持所有TopicGroup的读写权限。如果需要更细致的权限控制,您需开启ACL,创建SASL用户,按需赋予SASL用户向云消息队列 Kafka 版收发消息的权限。使用Terraformalicloud_alikafka_sasl_user资源可以创建和管理SASL用户。

说明

本教程所含示例代码支持一键运行,您可以直接运行代码。一键运行

前提条件

  • 由于阿里云账号(主账号)具有资源的所有权限,一旦发生泄露将面临重大风险。建议您使用RAM用户,并为该RAM用户创建AccessKey,具体操作方式请参见创建RAM用户创建AccessKey

  • 通过RAM授权,阿里云用户可以有效地管理其云资源访问权限,适应多用户协同工作的需求,并且能够按需为用户分配最小权限,避免权限过大导致的安全漏洞‌。具体操作方式请参见RAM用户授权

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:DescribeVpcAttribute",
                "vpc:DescribeRouteTableList",
                "vpc:DescribeVSwitchAttributes",
                "vpc:DeleteVpc",
                "vpc:DeleteVSwitch",
                "vpc:CreateVpc",
                "vpc:CreateVSwitch"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "bss:ModifyAgreementRecord",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bss:DescribeOrderList",
                "bss:DescribeOrderDetail",
                "bss:PayOrder",
                "bss:CancelOrder"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:ModifySecurityGroupPolicy",
                "ecs:DescribeSecurityGroups",
                "ecs:ListTagResources",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:RevokeSecurityGroup"
            ],
            "Resource": "*"
        },
        {
            "Action": "alikafka:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "connector.alikafka.aliyuncs.com",
                        "instanceencryption.alikafka.aliyuncs.com",
                        "alikafka.aliyuncs.com",
                        "etl.alikafka.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

  • 准备Terraform运行环境,您可以选择以下任一方式来使用Terraform。

    • Terraform Explorer中使用Terraform:阿里云提供了Terraform的在线运行环境,您无需安装Terraform,登录后即可在线使用和体验Terraform。适用于零成本、快速、便捷地体验和调试Terraform的场景。

    • Cloud Shell:阿里云Cloud Shell中预装了Terraform的组件,并已配置好身份凭证,您可直接在Cloud Shell中运行Terraform的命令。适用于低成本、快速、便捷地访问和使用Terraform的场景。

    • 在本地安装和配置Terraform:适用于网络连接较差或需要自定义开发环境的场景。

使用的资源

说明

本教程示例包含的部分资源会产生一定费用,请在不需要时及时进行释放或退订。

创建SASL用户

本示例以在华南1(深圳)地域下创建SASL用户为例。

  1. 创建一个工作目录,并在该工作目录中创建名为main.tf的配置文件,然后将以下代码复制到main.tf中。

    • 创建前置资源。

      说明

      实例类型为专业版并且已开启ACL的实例才可以创建SASL用户。

      variable "region" {
  default = "cn-shenzhen"
}

variable "instance_name" {
  default = "alikafkaInstanceName"
}

variable "zone_id" {
  default = "cn-shenzhen-f"
}

provider "alicloud" {
  region = var.region
}

# 创建VPC
resource "alicloud_vpc" "default" {
  vpc_name   = "alicloud"
  cidr_block = "172.16.0.0/16"
}

# 创建交换机
resource "alicloud_vswitch" "default" {
  vpc_id     = alicloud_vpc.default.id
  cidr_block = "172.16.192.0/20"
  zone_id    = var.zone_id
}

# 创建安全组。
resource "alicloud_security_group" "default" {
  vpc_id = alicloud_vpc.default.id
}

# 创建实例,磁盘类型为高效云盘,磁盘容量为500 GB,流量规格为alikafka.hw.2xlarge。
# 部署实例。
resource "alicloud_alikafka_instance" "default" {
  name            = var.instance_name
  partition_num   = 50
  disk_type       = "1"
  disk_size       = "500"
  deploy_type     = "5"
  io_max          = "20"
  spec_type       = "professional"
  service_version = "2.2.0"
  vswitch_id      = alicloud_vswitch.default.id
  security_group  = alicloud_security_group.default.id
  config          = <<EOF
  {
    "enable.acl": "true"
  }
  EOF
}

    • main.tf文件中增加resource alicloud_alikafka_sasl_user "default"配置项。

      variable "name" {
  default = "tf-example"
}

resource "alicloud_alikafka_sasl_user" "default" {
  instance_id = alicloud_alikafka_instance.default.id
  username    = var.name
  password    = "tf_example123"
}

  2. 执行以下命令,初始化Terraform运行环境。

    terraform init

    返回如下信息,表示Terraform初始化成功。

    Initializing the backend...

Initializing provider plugins...
- Checking for available provider plugins...
- Downloading plugin for provider "alicloud" (hashicorp/alicloud) 1.90.1...
...

You may now begin working with Terraform. Try running "terraform plan" to see
any changes that are required for your infrastructure. All Terraform commands
should now work.

If you ever set or change modules or backend configuration for Terraform,
rerun this command to reinitialize your working directory. If you forget, other

  3. 创建执行计划,并预览变更。

    terraform plan

  4. 执行以下命令,创建资源。

    terraform apply

    在执行过程中,根据提示输入yes并按下Enter键,等待命令执行完成,若出现以下信息,则表示运行成功。

    alicloud_vpc.default: Creating...
alicloud_vpc.default: Creation complete after 6s [id=vpc-****]
alicloud_security_group.default: Creating...
alicloud_vswitch.default: Creating...
alicloud_security_group.default: Creation complete after 1s [id=sg-****]
alicloud_vswitch.default: Creation complete after 4s [id=vsw-****]
alicloud_alikafka_instance.default: Creating...
alicloud_alikafka_instance.default: Still creating... [10s elapsed]
···
alicloud_alikafka_instance.default: Still creating... [3m30s elapsed]
alicloud_alikafka_instance.default: Creation complete after 3m33s [id=alikafka_post-cn-****]
alicloud_alikafka_sasl_user.default: Creating...
alicloud_alikafka_sasl_user.default: Creation complete after 3s [id=alikafka_post-cn-****:tf-example]

Apply complete! Resources: 5 added, 0 changed, 0 destroyed.

  5. 验证结果。

    执行terraform show命令

    执行terraform show查看SASL用户。

    terraform show
    # alicloud_alikafka_sasl_user.default:
resource "alicloud_alikafka_sasl_user" "default" {
    id          = "alikafka_post-cn-****:tf-example"
    instance_id = "alikafka_post-cn-****"
    password    = (sensitive value)
    type        = "plain"
    username    = "tf-example"
}

    登录云消息队列 Kafka 版控制台

    登录云消息队列 Kafka 版控制台,查看SASL用户。image

查询SASL用户

  1. 在上述main.tf文件中,增加data "alicloud_alikafka_sasl_users" "sasl_users_ds"配置项,具体配置如下。

    data "alicloud_alikafka_sasl_users" "sasl_users_ds" {
  instance_id = alicloud_alikafka_instance.default.id
}

  2. 创建执行计划,并预览变更。

    terraform plan

  3. 执行以下命令,创建资源。

    terraform apply

    在执行过程中,根据提示输入yes并按下Enter键,等待命令执行完成,若出现以下信息,则表示运行成功。

    alicloud_vpc.default: Refreshing state... [id=vpc-****]
alicloud_security_group.default: Refreshing state... [id=sg-****]
alicloud_vswitch.default: Refreshing state... [id=vsw-****]
alicloud_alikafka_instance.default: Refreshing state... [id=alikafka_post-cn-****]
alicloud_alikafka_sasl_user.default: Refreshing state... [id=alikafka_post-cn-****:tf-example]
data.alicloud_alikafka_sasl_users.sasl_users_ds: Reading...
data.alicloud_alikafka_sasl_users.sasl_users_ds: Read complete after 0s [id=****]

No changes. Your infrastructure matches the configuration.

Terraform has compared your real infrastructure against your configuration and found no differences, so no changes are
needed.

Apply complete! Resources: 0 added, 0 changed, 0 destroyed.

  4. 验证结果。执行terraform show查看Kafka SASL用户信息。

    terraform show
    # data.alicloud_alikafka_sasl_users.sasl_users_ds:
data "alicloud_alikafka_sasl_users" "sasl_users_ds" {
    id          = "404393857"
    instance_id = "alikafka_post-cn-****"
    names       = [
        "tf-example",
    ]
    users       = [
        {
            password = "tf_example123"
            username = "tf-example"
        },
    ]
}

清理资源

当您不再需要上述通过Terraform创建或管理的资源时,请运行以下命令以释放资源。关于terraform destroy的更多信息,请参见Terraform常用命令

terraform destroy

完整示例

说明

当前示例代码支持一键运行,您可以直接运行代码。一键运行

示例代码

variable "name" {
  default = "tf-example"
}

variable "region" {
  default = "cn-shenzhen"
}

variable "instance_name" {
  default = "alikafkaInstanceName"
}

variable "zone_id" {
  default = "cn-shenzhen-f"
}

provider "alicloud" {
  region = var.region
}

# 创建VPC
resource "alicloud_vpc" "default" {
  vpc_name   = "alicloud"
  cidr_block = "172.16.0.0/16"
}

# 创建交换机
resource "alicloud_vswitch" "default" {
  vpc_id     = alicloud_vpc.default.id
  cidr_block = "172.16.192.0/20"
  zone_id    = var.zone_id
}

# 创建安全组。
resource "alicloud_security_group" "default" {
  vpc_id = alicloud_vpc.default.id
}

# 创建实例,磁盘类型为高效云盘,磁盘容量为500 GB,流量规格为alikafka.hw.2xlarge。
# 部署实例。
resource "alicloud_alikafka_instance" "default" {
  name            = var.instance_name
  partition_num   = 50
  disk_type       = "1"
  disk_size       = "500"
  deploy_type     = "5"
  io_max          = "20"
  spec_type       = "professional"
  service_version = "2.2.0"
  vswitch_id      = alicloud_vswitch.default.id
  security_group  = alicloud_security_group.default.id
  config          = <<EOF
  {
    "enable.acl": "true"
  }
  EOF
}

resource "alicloud_alikafka_sasl_user" "default" {
  instance_id = alicloud_alikafka_instance.default.id
  username    = var.name
  password    = "tf_example123"
}

data "alicloud_alikafka_sasl_users" "sasl_users_ds" {
  instance_id = alicloud_alikafka_instance.default.id
  depends_on  = [alicloud_alikafka_sasl_user.default]
}

相关文档

上一篇:通过 Terraform 管理IP白名单下一篇:通过 Terraform 为SASL用户授权