更新时间:2023-05-06 GMT+08:00

设置Topic权限

分布式消息服务Kafka版支持对Topic进行ACL(Access Control List)权限管理,您可以在Topic中为不同的SASL_SSL用户设置不同的权限,以达到SASL_SSL用户之间的权限隔离。

本章节主要介绍Kafka实例开启SASL_SSL后,如何对Topic进行SASL_SSL用户授权。创建SASL_SSL用户的操作,请参见创建SASL_SSL用户

约束与限制

  • 如果Topic并未授权任何SASL_SSL用户,此时所有的SASL_SSL用户都可以订阅/发布此Topic。
  • 如果Topic已授权某一个或多个SASL_SSL用户,此时只有授权的SASL_SSL用户可以订阅/发布此Topic,其他未授权的SASL_SSL用户不能订阅/发布此Topic。
  • 如果Topic同时设置了“默认用户”权限和单个用户权限,取两者的并集。

前提条件

设置Topic权限

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用服务 > 分布式消息服务 Kafka”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例名称,进入实例详情页面。
  5. 在导航栏单击“Topic管理”,进入Topic列表页面。
  6. 在需要设置用户权限的Topic所在行,单击“设置用户权限”,弹出“设置用户权限”对话框。

    在“设置用户权限”对话框顶部显示Topic的信息,包括Topic名称、分区数、老化时间、副本数和是否同步落盘。中间为用户名的搜索框,SASL_SSL用户过多时,在搜索框中输入用户名,快速查找用户。在“用户列表”区域,展示已创建的SASL_SSL用户列表。在“已选择”区域,为SASL_SSL用户授权。

  7. 在“用户列表”区域,勾选需要订阅/发布/发布+订阅此Topic的用户名。在“已选择”区域,为用户设置不同的权限。

    图1 设置用户权限

    图1所示,此时只有“test”、“send”和“receive”用户可以订阅/发布topic-01,“send_receive”用户无法订阅/发布topic-01。

  8. 单击“确定”,完成为SASL_SSL用户的授权。

    完成授权后,进入Topic列表页面,在Topic名称前单击,查看已经授权的用户及其对应的权限。

    图2 查看已经授权的用户及其对应的权限

(可选)删除Topic权限

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用服务 > 分布式消息服务 Kafka”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例名称,进入实例详情页面。
  5. 在导航栏单击“Topic管理”,进入Topic列表页面。
  6. 在待删除用户权限的Topic所在行,单击“设置用户权限”,弹出“设置用户权限”对话框。
  7. 在“已选择”区域,在待删除权限的SASL_SSL用户所在行,单击“删除”,然后单击“确定”。