设置Kafka管理员权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - topic”的策略,单击
按钮编辑策略。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Select/Deselect All”。
设置用户对Topic的创建权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Create”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式创建Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式创建Topic。
注意:目前Kafka只支持"--bootstrap-server"方式创建Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的删除权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Delete”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式删除Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式删除Topic。
注意:目前Kafka只支持对"--bootstrap-server"方式删除Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的查询权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”和“Describe Configs”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式查询Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式查询Topic。
注意:目前Kafka只支持对"--bootstrap-server"方式查询Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的生产权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Publish”。
设置用户对Topic的消费权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Consume”。
说明:
因为消费Topic时,涉及到Offset的管理操作,必须同时开启ConsumerGroup的“Consume”权限,详见“设置用户对ConsumerGroup Offsets 的提交权限”
设置用户对Topic的扩容权限(增加分区)
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter”。
设置用户对Topic的配置修改权限
当前Kafka内核暂不支持基于“--bootstrap-server”的Topic参数修改行为,故当前Ranger不支持对此行为的鉴权操作。
设置用户对Cluster的所有管理权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Kafka Admin”。
设置用户对Cluster的创建权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - cluster”的策略,单击
按钮编辑策略。
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Create”。
说明:
对于Cluster的Create操作鉴权主要涉及以下两个场景:
集群开启了“auto.create.topics.enable”参数后,客户端向服务的还未创建的Topic发送数据的场景,此时会判断用户是否有集群的Create权限
对于用户创建大量Topic的场景,如果授予用户Cluster Create权限,那么该用户可以在集群内部创建任意Topic
设置用户对Cluster的配置修改权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter Configs”。
说明:
此处的配置修改权限,指的是Broker、Broker Logger的配置权限。
当授予用户配置修改权限后,即使不授予配置查询权限也可查询配置详情(配置修改权限高于且包含配置查询权限)。
设置用户对Cluster的配置查询权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”和 “Describe Configs”。
说明:
此处查询指的是查询集群内的Broker、Broker Logger信息。该查询不涉及Topic。
设置用户对Cluster的Idempotent Write权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Idempotent Write”。
说明:
此权限会对用户客户端的Idempotent Produce行为进行鉴权。
设置用户对Cluster的分区迁移权限管理
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter”。
说明:
Cluster的Alter权限可以对以下三种场景进行权限控制:
Partition Reassign场景下,迁移副本的存储目录。
集群里各分区内部leader选举。
Acl管理(添加或删除)。
其中1和2都是集群内部Controller与Broker间、Broker与Broker间的操作,创建集群时,默认授予内置kafka用户此权限,普通用户授予此权限没有意义。
3涉及Acl的管理,Acl设计的就是用于鉴权,由于目前kafka鉴权已全部托管给Ranger,所以这个场景也基本不涉及(配置后亦不生效)。
设置用户对Cluster的Cluster Action权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Cluster Action”。
说明:
此权限主要对集群内部副本主从同步、节点间通信进行控制,在集群创建时已经授权给内置kakfa用户,普通用户授予此权限没有意义。
设置用户对TransactionalId的权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - transactionalid”的策略,单击
按钮编辑策略。
在“transactionalid”配置事务ID。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Publish”和 "Describe"。
说明:
“Publish”权限主要对用户开启了事务特性的客户端请求进行鉴权,例如事务开启、结束、提交offset、事务性数据生产等行为。
“Describe”权限主要对于开启事务特性的客户端与Coordinator的请求进行鉴权。
建议在开启事务特性的场景下,给用户同时授予“Publish”和“Describe”权限。
设置用户对DelegationToken的权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - delegationtoken”的策略,单击
按钮编辑策略。
在“delegationtoken”配置delegationtoken。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“ Describe”。
说明:
当前Ranger对DelegationToken的鉴权控制仅限于对查询的权限控制,不支持对DelegationToken的create、renew、expire操作的权限控制。
设置用户对ConsumerGroup Offsets 的查询权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击
按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”。
设置用户对ConsumerGroup Offsets 的提交权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击
按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Consume”。
说明:
当给用户授予了ConsumerGroup的“Consume”权限后,用户会同时被授予“Describe”权限。
设置用户对ConsumerGroup Offsets 的删除权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击
按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Delete”。
说明:
当给用户授予了ConsumerGroup的“Delete”权限后,用户会同时被授予“Describe”权限。
