本文介紹了Kafka如何開啟Ranger權限控制,以及Ranger Kafka權限配置說明。
前提條件
已創建選擇了Kafka、Ranger和Ranger-plugin服務的DataFlow集群,創建集群詳情請參見創建DataFlow Kafka集群。
集群已開啟SASL功能,開啟詳情請參見使用SASL登錄認證Kafka服務。
重要在配置SASL身份驗證時,由于EMR Ranger插件為Kafka集群默認生成的服務將所有權限賦予了名為kafka的用戶,因此您需要在SASL認證中配置kafka用戶的登錄權限。
如果您需要創建自定義的管理員用戶,則需要在Kafka服務的server.properties文件中新增配置項super.users,以賦予其超級用戶權限。
新增配置項詳情,請參見管理配置項。
使用限制
本文僅適用于EMR 3.45.0以上版本(3.x系列)的EMR集群。
由于EMR 5.x系列的Kafka不支持Ranger鑒權,所以本文檔不適用于5.x系列的EMR集群。
操作步驟
進入集群服務頁面。
單擊目標集群操作列的集群服務。
Ranger啟用Kafka。
在集群服務頁面,單擊Ranger-plugin服務區域的狀態。
在服務概述區域,打開enableKafka開關。
在彈出的對話框中,單擊確定。
重啟Kafka。
在集群服務頁面,選擇
> Kafka。選擇右上角的。
在彈出的對話框中,輸入執行原因,單擊確定。
在確認對話框中,單擊確定。
在Ranger UI頁面查看Kafka Service。
進入Ranger UI頁面,詳情請參見訪問鏈接與端口。
在Ranger UI頁面,單擊配置好的emr-kafka。
在Ranger啟用Kafka時會自動添加一個名稱為emr-kafka的Kafka Service。
默認狀態下,Kafka Service服務信息如下,您可以根據實際情況配置策略。
重要為確保Dataflow Kafka的正常運行,系統默認使用kafka用戶作為管理員角色,請務必保證此kafka用戶具備所有必要的權限。
相關文檔
如果集群沒有所需的服務,您可自行添加,詳情請參見新增服務。
如果您的集群是EMR 3.45.0及以下版本,則需要手動集成Ranger,詳情請參見手動集成Ranger Kafka插件。