发布于: Jul 9, 2021
今天,我们宣布推出适用于 Amazon MSK 的 Identity and Access Management (IAM) 访问控制。IAM 访问控制是一种免费提供的安全选项,它使用 IAM 角色或用户策略来控制访问,从而简化集群身份验证和 Apache Kafka API 授权。通过使用 IAM 访问控制,客户不再需要构建和运行一次性访问管理系统来控制 Apache Kafka 的客户端身份验证和授权,并在默认情况下使用最低特权权限保护 MSK 集群。
只需单击几下,客户就可以在 MSK 集群创建步骤中启用 IAM 访问控制。接下来,他们为用户和角色定义 IAM 策略,以控制可能访问 MSK 集群的身份,并控制这些客户端可以对 Apache Kafka API 采取的操作。例如,客户可以编写 IAM 策略来控制哪些客户端可以连接到集群,并写入或读取 Apache Kafka 主题。这样就无需仅对 Apache Kafka 使用陌生的身份验证或授权系统。所有客户端都需要配置 Apache 2.0 许可的 msk-iam-auth 库,该库使用 SigV4 请求签名安全地推断 IAM 凭证并将其发送到 MSK。
MSK 与 IAM 的集成支持标准的 IAM 功能,包括标签、条件键、基于用户和角色的访问控制,以及对外部身份提供商的支持(包括 OpenID Connect for OAuthBearer 身份验证)。IAM 访问控制现已在由光环新网运营的亚马逊云科技中国(北京)区域和西云数据运营的亚马逊云科技中国(宁夏)区域面向新的 MSK 集群开放。
请访问 MSK 用户文档以开始使用。