使用ACL功能进行访问控制

注意事项

• Kafka为公网/VPC类型实例提供默认SASL用户，默认SASL用户仅提供身份校验，支持所有Topic和Group的读写权限。如果需要更细致的权限控制，您需开启ACL，创建自定义SASL用户，按需赋予SASL用户向云消息队列 Kafka 版收发消息的权限。开启ACL之后，默认的SASL用户权限将失效。

• 开启ACL后，不支持通过发送消息的方式自动创建Topic。

前提条件

您的云消息队列 Kafka 版实例必须满足以下条件：

• 实例规格类型为专业版或V3系列Serverless版。

• 实例运行状态为服务中。

• 大版本为2.2.0版本及以上。如何升级实例大版本，请参见升级版本。

• 小版本为最新版。如何升级实例小版本，请参见升级实例版本。

步骤一：开启ACL

升级实例的小版本后，在云消息队列 Kafka 版控制台为实例开启ACL。

1. 登录云消息队列 Kafka 版控制台。

2. 在概览页面的资源分布区域，选择地域。

3. 在实例列表页面，单击目标实例名称。

4. 在实例详情页面，单击概览区域右上角的开启 ACL。

5. 在提示对话框，单击确认，然后手动刷新页面。

   手动刷新页面后，实例详情页面的基础信息区域，运行状态显示升级中。待实例的状态显示服务中说明开启ACL任务完成。

   重要

   升级完成后，实例才会开启ACL。您才可以创建SASL用户并为其授权，通过SASL接入点接入。升级预计需要15分钟~20分钟。

步骤二：创建SASL用户

实例开启ACL后，为用户A创建SASL用户。

1. 登录云消息队列 Kafka 版控制台。

2. 在概览页面的资源分布区域，选择地域。

3. 在实例列表页面，选择已经开启ACL的实例。

4. 在实例详情页面，单击SASL 用户管理页签。V3系列Serverless实例请在左侧导航栏选择权限管理 > SASL用户管理。

5. 在SASL 用户管理页面中，单击创建 SASL 用户。

6. 在创建 SASL 用户面板，设置SASL用户，然后单击创建。

   参数	描述
   用户名	SASL用户的名称。
   用户类型	云消息队列 Kafka 版支持的SASL机制如下： PLAIN： 一种简单的用户名密码校验机制。云消息队列 Kafka 版优化了PLAIN机制，支持不重启实例的情况下动态增加SASL用户。 SCRAM：一种用户名密码校验机制，安全性比PLAIN更高。云消息队列 Kafka 版V2系列实例使用SCRAM-SHA-256。V3系列Serverless实例支持SCRAM-SHA-512，并且是SCRAM的默认配置。
   密码	SASL用户的密码。
   确认密码	确认SASL用户的密码。

   创建完成后，SASL 用户管理页签下方显示您创建的SASL用户。

   • 如果您需要更改SASL用户的密码，单击其操作列的修改密码。在修改SASL用户密码面板，设置新密码并确认新密码。单击确定。

   • 如果您需要删除SASL用户，单击其操作列的删除。

步骤三：授予SASL用户权限

为用户A创建SASL用户后，为该SASL用户授予从Topic和Consumer Group读取消息的权限。

1. 在实例详情页面，单击SASL 权限管理页签。

2. 在SASL 权限管理页签，单击添加权限。

3. 在添加权限面板，配置如下参数，然后单击确定。

   V2系列实例参数配置

   参数	描述
   用户名	SASL用户的名称。云消息队列 Kafka 版支持通配符星号（*）表示所有用户名。
   资源类型	云消息队列 Kafka 版支持授权的资源类型如下： Topic：消息主题。 Group：消费组。 Cluster：实例。 TransactionalId：事务ID。
   匹配方式	云消息队列 Kafka 版支持的匹配模式如下： 完全匹配：只会匹配名称完全相同的资源。 前缀匹配：匹配以输入的内容作为前缀的任意资源名称。
   资源名	Topic、Group或Cluster的名称，或者是事务的ID。云消息队列 Kafka 版支持通配符星号（*）表示所有资源名。
   操作类型	云消息队列 Kafka 版支持的操作类型如下： 写入 读取 幂等写 重要 资源类型Group仅支持操作类型读取。 资源类型Cluster仅支持操作类型幂等写。

   V3系列Serverless实例参数配置

   参数	描述
   用户名	SASL用户的名称。云消息队列 Kafka 版支持通配符星号（*）表示所有用户名。
   资源类型	云消息队列 Kafka 版支持授权的资源类型如下： Topic：消息主题。 Group：消费组。 Cluster：实例。 TransactionalId：事务ID。
   匹配方式	云消息队列 Kafka 版支持的匹配模式如下： 完全匹配：只会匹配名称完全相同的资源。 前缀匹配：匹配以输入的内容作为前缀的任意资源名称。
   资源名	Topic、Group或Cluster的名称，或者是事务的ID。云消息队列 Kafka 版支持通配符星号（*）表示所有资源名。
   来源IP	限制IP可以允许访问或者拦截。
   授权方式	ALLOW：允许访问。 DENY：拒绝访问。
   操作类型	云消息队列 Kafka 版支持的操作类型如下： WRITE：写入 READ：读取 CREATE：创建 DELETE：删除 DESCRIBE：查看metadata信息和位点信息。 DESCRIBE_CONFIGS：查看配置信息。 IDEMPOTENT_WRITE：幂等写入。 重要 3.0以上的客户端默认开启幂等写入，需要设置enable.idempotence=true添加IDEMPOTENT_WRITE权限才能正常发送。 当授权WRITE、READ、DELETE、ALTER任何一个权限时，默认具有DESCRIBE权限。 资源类型Cluster仅支持操作类型IDEMPOTENT_WRITE。

   配置完成之后，在SASL 权限管理页签，可设置资源类型、匹配方式、资源名与用户名，单击查询，查看已创建的用户权限。

相关操作

• 完成授权后，用户A可以通过SASL接入点接入云消息队列 Kafka 版并使用PLAIN机制消费消息。如何使用SDK接入，请参见SDK概述。

• 如果您希望通过API方式为SASL用户授权，请参见CreateSaslUser - 创建SASL用户和CreateAcl - 创建ACL。

• SASL接入点的更多信息，请参见接入点对比。