Documentación de Oracle Cloud Infrastructure

Configuración de SASL/SCRAM

OCI Streaming con Apache Kafka soporta SCRAM-SHA-512.

La autenticación SASL/SCRAM garantiza la seguridad mediante el uso de credenciales de nombre de usuario y contraseña. SCRAM utiliza contraseñas saladas y algoritmos de hash criptográficos para proteger las credenciales del usuario. Las credenciales no se almacenan ni se transmiten en texto sin formato.

Cree las políticas de IAM necesarias y, a continuación, realice las siguientes tareas para configurar la autenticación SASL/SCRAM para un cluster de Kafka.

  1. Crear credenciales de conexión en OCI Vault
  2. Actualizar el cluster de Kafka con las credenciales creadas
  3. Configurar clientes de Kafka para que utilicen credenciales seguras

Políticas de IAM necesarias

Agregue las siguientes sentencias de política antes de configurar la autenticación SASL/SCRAM para un cluster de Kafka.

allow service rawfka to {SECRET_UPDATE} in compartment <compartment>
allow service rawfka to use secrets in compartment <compartment> where request.operation = 'UpdateSecret'

Creación de credenciales en Vault

Utilice el servicio OCI Vault para crear credenciales de usuario seguras.

  1. Cree un almacén, si aún no dispone de uno.
  2. Cree una clave de cifrado maestra en el almacén que se va a utilizar para cifrar el secreto.
  3. Crear un secreto en el almacén. Para el cluster de Kafka, el secreto se debe crear con el método Generación manual de secretos. Siempre que rote manualmente el secreto, también debe actualizar SASL SCRAM para el cluster. De lo contrario, el cluster de Kafka sigue utilizando el secreto antiguo, ya que no puede detectar ni sincronizar automáticamente las versiones del secreto actualizadas, lo que provoca fallos de autenticación.

Actualización de SASL/SCRAM para el cluster de Kafka

Actualice el cluster de Kafka con las credenciales seguras creadas o actualizadas.

    1. En la página de lista de clusters de Kafka, seleccione el cluster con el que desea trabajar.
    2. En la página de detalles, seleccione el menú Acciones y, a continuación, seleccione Actualizar SASL SCRAM.
    3. En el panel Update SASL SCRAM (Actualizar SASL SCRAM), seleccione el almacén con las credenciales seguras.
    4. Seleccione el secreto en el almacén.
    5. Seleccione Actualizar.

  • Utilice el comando cluster enable-superuser y los parámetros necesarios para agregar propiedades SASL/SCRAM en una configuración de cluster:

    oci kafka cluster enable-superuser --compartment-id <compartment-ocid> --kafka-cluster-id <cluster-ocid> --secret-id <secret-ocid>

    Opciones necesarias

    <ocid de compartimento>
    OCID del compartimento en el que se crea el secreto de almacén.
    <cluster-ocid>
    OCID del cluster de Kafka en el que se deben actualizar las credenciales SASL/SCRAM.
    <ID_secreto>
    OCID del secreto de almacén en el que se deben actualizar las nuevas credenciales.

    Utilice el comando cluster disable-superuser y los parámetros necesarios para eliminar las propiedades SASL/SCRAM en una configuración de cluster:

    oci kafka cluster disable-superuser  --kafka-cluster-id <cluster-ocid>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación enableSuperuser para agregar o actualizar las credenciales SASL/SCRAM para el cluster de Kafka.

Configuración de clientes de Kafka

Para conectarse a un cluster de Kafka mediante SASL/SCRAM, debe actualizar el archivo de propiedades del cliente de Kafka.

Cree un archivo client.properties con la siguiente información: 
security.protocol=SASL_SSL
sasl.mechanism=SCRAM-SHA-512
ssl.truststore.location=/path/to/truststore.jks
ssl.truststore.password=<your-truststore-password>
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="<your-username>" password="<your-password>";