Configuration de SASL/SCRAM
OCI Streaming with Apache Kafka prend en charge SCRAM-SHA-512.
L'authentification SASL/SCRAM assure la sécurité à l'aide des informations d'identification de nom utilisateur et de mot de passe. SCRAM utilise des mots de passe salés et des algorithmes de hachage cryptographique pour protéger les informations d'identification utilisateur. Les informations d'identification ne sont pas stockées ou transmises en texte brut.
Créez les stratégies IAM requises, puis effectuez les tâches suivantes afin de configurer l'authentification SASL/SCRAM pour un cluster Kafka.
Stratégies IAM requises
Ajoutez les instructions de stratégie suivantes avant de configurer l'authentification SASL/SCRAM pour un cluster Kafka.
allow service rawfka to {SECRET_UPDATE} in compartment <compartment>
allow service rawfka to use secrets in compartment <compartment> where request.operation = 'UpdateSecret'Création d'informations d'identification dans le coffre
Utilisez le service OCI Vault pour créer des informations d'identification utilisateur sécurisées.
- Créez un coffre, si vous n'en avez pas encore.
- Créez une clé de cryptage maître dans le coffre à utiliser pour crypter la clé secrète.
- Créez une clé secrète dans le coffre. Pour le cluster Kafka, la clé secrète doit être créée avec la méthode de génération manuelle de clé secrète. Chaque fois que vous effectuez une rotation manuelle de la clé secrète, vous devez également mettre à jour SASL SCRAM pour le cluster. Sinon, le cluster Kafka continue d'utiliser l'ancienne clé secrète, car il ne peut pas détecter ou synchroniser automatiquement les versions de clé secrète mises à jour, ce qui entraîne des échecs d'authentification.
Mise à jour de SASL/SCRAM pour le cluster Kafka
Mettez à jour le cluster Kafka avec les informations d'identification sécurisées créées ou mises à jour.
- Sur la page de liste Clusters Kafka, sélectionnez le cluster à utiliser.
- Sur la page de détails, sélectionnez le menu Actions, puis Mettre à jour SASL SCRAM.
- Dans le panneau Mettre à jour SASL SCRAM, sélectionnez le coffre avec les informations d'identification sécurisées.
- Sélectionnez la clé secrète dans le coffre.
- Sélectionnez Mettre à jour.
Utilisez la commande
cluster enable-superuseret les paramètres requis pour ajouter des propriétés SASL/SCRAM dans une configuration de cluster :oci kafka cluster enable-superuser --compartment-id <compartment-ocid> --kafka-cluster-id <cluster-ocid> --secret-id <secret-ocid>Options obligatoires
- <compartiment-ocid>
- OCID du compartiment dans lequel la clé secrète du coffre est créée.
- <cluster-ocid>
- OCID du cluster Kafka dans lequel les informations d'identification SASL/SCRAM doivent être mises à jour.
- <ID-secret>
- OCID de la clé secrète du coffre dans laquelle les nouvelles informations d'identification doivent être mises à jour.
Utilisez la commande
cluster disable-superuseret les paramètres requis pour supprimer les propriétés SASL/SCRAM dans une configuration de cluster :oci kafka cluster disable-superuser --kafka-cluster-id <cluster-ocid>Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.
Exécutez l'opération
enableSuperuserpour ajouter ou mettre à jour les informations d'identification SASL/SCRAM pour le cluster Kafka.
Configurer des clients Kafka
Pour vous connecter à un cluster Kafka à l'aide de SASL/SCRAM, vous devez mettre à jour le fichier de propriétés du client Kafka.
client.properties avec les informations suivantes :
security.protocol=SASL_SSL
sasl.mechanism=SCRAM-SHA-512
ssl.truststore.location=/path/to/truststore.jks
ssl.truststore.password=<your-truststore-password>
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="<your-username>" password="<your-password>";