You need to enable JavaScript to run this app.
导航
创建 SASL 用户
最近更新时间:2023.12.11 21:55:04首次发布时间:2021.08.30 16:20:22

消息队列 Kafka版兼容开源 Kafka 的 ACL 权限策略,提供 SASL 用户管理功能,您可以按需为 SASL 用户赋予收发消息的权限。本文介绍通过控制台创建 SASL 用户的操作步骤。

背景信息

消息队列 Kafka版兼容 ACL 权限策略,支持SASL安全机制,并提供 PLAIN 和 SCRAM 两种类型的 SASL 用户,分别用于 PLAIN 和 SCRAM-SHA-256 机制下生产和消费消息。创建 SASL 用户之后,Kafka 实例会提供 SASL 接入点,通过 SASL 用户名及密码鉴权后才能通过此接入点登录 Kafka 实例。

说明

  • 对于2023年8月23日之前创建的实例,创建实例时同步创建的 PLAIN 机制 SASL 用户不可删除,也不支持为该用户重置密码、不支持创建另一个 PLAIN 用户。
  • 创建 SCRAM 类型用户后,不支持查看其密码,创建此类型用户时请妥善保存密码。

操作步骤

  1. 登录消息队列 Kafka版控制台

  2. 在顶部导航栏选择地域。

  3. 实例列表页面,单击目标 Kafka 实例名称。

  4. 用户管理页签中,单击创建用户

  5. 设置相关参数。

    参数

    说明

    用户名

    SASL 用户名。须满足以下要求:

    • 长度范围为 3~64 个字符。
    • 只能包含英文、数字、连字符(-)和下划线(_)。
    • 不支持设置为 admin 或 monitor。
    • 同一实例下用户名不可重复。

    密码类型

    用户密码类型,即 SASL 用户的类型,支持设置为:

    • Scram:SCRAM 类型的 SASL 用户。
    • Plain:PLAIN 类型的 SASL 用户。

    说明

    如果创建 PLAIN 类型用户,则延迟 1 分钟生效。创建后请耐心等待。

    密码

    SASL 用户密码。须满足以下要求:

    • 8~32 个字符。
    • 包含大写字母、小写字母、数字、特殊字符中的三种。
    • 特殊字符包括 !@#$%^&*()_+-=

    确认密码

    再次输入密码。

    描述

    SASL 用户的描述,长度为 1~128。

  6. 设置是否开启用户 All Permitted 功能。
    All Permitted 类似默认权限,可以配合 ACL 权限使用。

    • 开启 All Permitted:此用户对实例内所有 Topic 和 Group 都拥有读写权限。
    • 关闭 All Permitted:此用户对实例内所有 Topic 和 Group 都不具备任何权限。此时可以为此用户添加对于指定 Topic、Group 的权限。详细说明请参考创建 ACL
  7. 单击确定

相关操作

创建 SASL 用户后,您还可以对此 SASL 用户进行以下相关操作:

  • 修改 ALL Permitted 权限状态
    在目标实例的用户管理页签中找到指定 SASL 用户,并在对应的 All Permitted 一列中开启或关闭按钮,表示开启或关闭 All Permitted。

    说明

    关闭前,请确认没有正在运行的应用通过此用户进行鉴权认证,以免影响线上业务。

  • 创建 ACL
    如果 SASL 用户关闭了 All Permitted,可以通过 ACL 设置细粒度的权限策略。
  • 重置 SASL 用户密码
  • 查看 PLAIN 用户密码
  • 删除 SASL 用户