AWS - MSK Enum
Amazon MSK
Το Amazon Managed Streaming for Apache Kafka (Amazon MSK) είναι ένα υπηρεσία πλήρως διαχειριζόμενη που διευκολύνει την ανάπτυξη και εκτέλεση εφαρμογών που επεξεργάζονται δεδομένα ροής μέσω του Apache Kafka. Οι λειτουργίες ελέγχου του ελέγχου, συμπεριλαμβανομένης της δημιουργίας, ενημέρωσης και διαγραφής των clusters, προσφέρονται από το Amazon MSK. Η υπηρεσία επιτρέπει τη χρήση λειτουργιών data-plane του Apache Kafka, περιλαμβάνοντας την παραγωγή και κατανάλωση δεδομένων. Λειτουργεί με ανοιχτούς κώδικα εκδόσεις του Apache Kafka, εξασφαλίζοντας συμβατότητα με υπάρχουσες εφαρμογές, εργαλεία και πρόσθετα από εταίρους και την κοινότητα Apache Kafka, εξαλείφοντας την ανάγκη για αλλαγές στον κώδικα της εφαρμογής.
Όσον αφορά την αξιοπιστία, το Amazon MSK είναι σχεδιασμένο για να ανιχνεύει αυτόματα και να ανακτά από κοινού από καταστάσεις αποτυχίας του cluster, εξασφαλίζοντας ότι οι εφαρμογές παραγωγού και καταναλωτή συνεχίζουν τις δραστηριότητές τους εγγραφής και ανάγνωσης δεδομένων με ελάχιστη διακοπή. Επιπλέον, στοχεύει στη βελτιστοποίηση των διαδικασιών αντιγραφής δεδομένων προσπαθώντας να επαναχρησιμοποιήσει την αποθήκευση των αντικατασταθέντων brokers, μειώνοντας έτσι τον όγκο των δεδομένων που πρέπει να αντιγραφούν από το Apache Kafka.
Τύποι
Υπάρχουν 2 τύποι καταλόγων Kafka που επιτρέπει η AWS να δημιουργήσει: Προμηθευμένοι και Χωρίς διακομιστή.
Από την άποψη ενός επιτιθέμενου, πρέπει να γνωρίζετε ότι:
Οι Χωρίς διακομιστή δεν μπορούν να είναι απευθείας δημόσιοι (μπορούν να λειτουργούν μόνο σε ένα VPN χωρίς καμία δημόσια διευθυνσιοδότηση IP). Ωστόσο, οι Προμηθευμένοι μπορούν να ρυθμιστούν για να λάβουν μια δημόσια IP (από προεπιλογή δεν το κάνουν) και να ρυθμίσουν τη συμμάχη ασφαλείας για να εκθέσουν τις σχετικές θύρες.
Οι Χωρίς διακομιστή υποστηρίζουν μόνο το IAM ως μέθοδο πιστοποίησης. Οι Προμηθευμένοι υποστηρίζουν την πιστοποίηση SASL/SCRAM (κωδικός πρόσβασης), την πιστοποίηση IAM, τον διαχειριστή πιστοποιητικών AWS (ACM) και την Μη πιστοποιημένη πρόσβαση.
Σημειώστε ότι δεν είναι δυνατή η δημόσια εκθεσημότητα ενός Προμηθευμένου Kafka εάν είναι ενεργοποιημένη η μη πιστοποιημένη πρόσβαση
Πρόσβαση IAM στο Kafka (σε serverless)
Οι υπηρεσίες Kafka στο AWS Managed Streaming for Apache Kafka (MSK) μπορούν να παρέχουν πρόσβαση μέσω του Identity and Access Management (IAM). Αυτό σημαίνει ότι μπορείτε να διαμορφώσετε τα δικαιώματα πρόσβασης για τους χρήστες και τους ρόλους σας στο AWS, προκειμένου να ελέγξετε ποιοι έχουν πρόσβαση στο Kafka cluster σας.
Για να διαμορφώσετε την πρόσβαση IAM για το Kafka cluster, μπορείτε να χρησιμοποιήσετε τις πολιτικές IAM για να ορίσετε τα δικαιώματα πρόσβασης για τους χρήστες και τους ρόλους σας. Μπορείτε να περιορίσετε την πρόσβαση με βάση τις διάφορες ενέργειες που μπορούν να εκτελέσουν οι χρήστες, όπως την παραγωγή και την κατανάλωση μηνυμάτων, τη δημιουργία θεμάτων και τη διαχείριση των δικαιωμάτων πρόσβασης.
Επιπλέον, μπορείτε να χρησιμοποιήσετε το AWS Identity and Access Management (IAM) για να διαμορφώσετε την πρόσβαση IAM για τις εφαρμογές σας που εκτελούνται σε serverless περιβάλλοντα, όπως το AWS Lambda. Μπορείτε να ορίσετε ρόλους IAM για τις εφαρμογές σας και να παρέχετε τα απαραίτητα δικαιώματα πρόσβασης στο Kafka cluster.
Με τη σωστή διαμόρφωση της πρόσβασης IAM, μπορείτε να ελέγξετε αποτελεσματικά την πρόσβαση στο Kafka cluster σας και να διασφαλίσετε την ασφάλεια των δεδομένων σας.
Ανέβασμα δικαιωμάτων
Μη εξουσιοδοτημένη πρόσβαση
Μόνιμη παραμονή
Εάν έχετε πρόσβαση στο VPC όπου βρίσκεται ένα Προμηθευμένο Kafka, μπορείτε να ενεργοποιήσετε μη εξουσιοδοτημένη πρόσβαση, εάν SASL/SCRAM πιστοποίηση, διαβάσετε τον κωδικό πρόσβασης από το μυστικό, δώσετε κάποιες άλλες ελεγχόμενες δικαιώματα IAM χρήστη (εάν χρησιμοποιείται IAM ή serverless) ή μείνετε μόνιμοι με πιστοποιητικά.
Αναφορές
Last updated