Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

SASL 認証を構成する

クライアントは、オープンソースの Apache Kafka API を使用して Managed Service for Apache Kafka クラスタに接続できます。すべての接続は TLS を使用して暗号化する必要があります。プレーンテキスト通信はサポートされていません。認証は、サポートされている 2 つのメカニズムのいずれかを使用して処理されます。各メカニズムには、SASL または mTLS という異なる認証情報タイプがあります。

このドキュメントでは、SASL メソッドを使用して認証する方法について説明します。クライアントは、サービスアカウントなど、認可された Identity and Access Management プリンシパルの認証情報を使用して認証します。Managed Service for Apache Kafka は、すべての接続のサーバーサイドブローカー証明書を管理します。

始める前に

以下の説明をご覧ください。

サービスアカウントにマネージド Kafka クライアントロールを付与する

クラスタに接続するために使用するサービスアカウントに、クラスタを含むプロジェクトの roles/managedkafka.client IAM ロールを付与する必要があります。

マネージド Kafka クライアントロールには、すべての接続に必要な権限 managedkafka.clusters.connect が含まれています。サービスアカウントにマネージド Kafka クライアントロールを付与する手順は、次のとおりです。

コンソール

コンソールで、[IAM] ページに移動します。 Google Cloud
IAM に移動
プロジェクトが、Managed Service for Apache Kafka クライアントがアクセスするコンシューマープロジェクトに設定されていることを確認します。
[アクセス権を付与] をクリックします。
新しいページで、[プリンシパルを追加] に、使用するサービスアカウントのメールアドレスを入力します。
[**ロールを割り当てる**] で、**マネージド Kafka クライアント** ロールを選択します。
[保存] をクリックします。

gcloud CLI

コンソールで Cloud Shell をアクティブにします。 Google Cloud

Cloud Shell をアクティブにする

コンソールの下部にある Google Cloud Cloud Shell セッションが開始し、コマンドラインプロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
gcloud projects add-iam-policy-binding コマンドを実行します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_EMAIL \
  --role roles/managedkafka.client
```
次のように置き換えます。
- PROJECT_ID は、プロジェクト ID です。
- SERVICE_ACCOUNT_EMAIL はサービスアカウントのメールアドレスです。

に対する認証を行うように Kafka クライアントを構成する Google Cloud

次のいずれかのメカニズムを使用して、Kafka クライアントを認証できます。 Google Cloud

OAUTHBEARER（推奨）: このメカニズムでは、アプリケーションのデフォルト認証情報（ADC）を使用する必要があります。ADC は、アプリケーション環境に基づいて認証情報を自動的に検索するために認証ライブラリが使用するストラテジです。ADC が認証情報を探す場所と順序については、アプリケーションのデフォルト認証情報の仕組みをご覧ください。

SASL/PLAIN: このメカニズムでは、サービスアカウントキーの JSON ファイルまたはアクセストークンから派生できるユーザー名とパスワードを使用する必要があります。

一般に、OAUTHBEARER を使用することをおすすめします。ただし、SASL/PLAIN はテストに便利なメカニズムです。

OAuthBearer 認証

オープンソースの Kafka API に対する認証方法については、 GitHub のドキュメントをご覧ください。

SASL/PLAIN 認証

Managed Service for Apache Kafka は、サービスアカウントキーの JSON ファイルまたはアクセストークンを使用した SASL/PLAIN 認証をサポートしています。

サービスアカウントキーの JSON ファイル

注意: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。

外部ソースからサービスアカウントキーを取得した場合は、使用前に検証する必要があります。詳細については、外部ソースの認証情報のセキュリティ要件をご覧ください。

この方法は、すべての Kafka クライアントに適用できます。

クライアントに使用するサービスアカウントのサービスアカウントキーの JSON ファイルをダウンロードします。
base64 エンコードを使用してサービスアカウントファイルをエンコードし、認証文字列として使用します。ファイル名を my_service_account_key.json とします。

Linux または macOS システムでは、base64 コマンド（通常はデフォルトでインストールされています）を次のように使用します。
```
base64 -w 0 < my_service_account_key.json > password.txt
```
このコマンドによって、次のアクションが実行されます。
- base64 < my_service_account_key.json: ファイル my_service_account_key.jsonの内容を読み取ります。
- base64 エンコードを使用してファイルの内容をエンコードします。Base64 エンコードは、バイナリデータ（サービスアカウントファイルの JSON データなど）を ASCII テキストとして表す方法です。これは、テキスト用に設計されたチャネルでデータを送信する場合によく使用されます。
- > password.txt: base64 コマンドの出力（サービスアカウントファイルの base64 エンコードバージョン）を password.txt という名前の新しいファイルにリダイレクトします。
パスワードファイルの内容は、次のパラメータを使用して認証に使用できます。
```
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
username="SERVICE_ACCOUNT_EMAIL_ADDRESS" \
password="CONTENTS_OF_BASE64_ENCODED_PASSWORD_FILE";
```
次のように置き換えます。
- SERVICE_ACCOUNT_EMAIL_ADDRESS: 認証に使用するサービスアカウントのメールアドレス。
- CONTENTS_OF_BASE64_ENCODED_PASSWORD_FILE: 前のステップで取得した base64 エンコードされたパスワードファイルの内容。これは 1 行にする必要があります。

クラスタへの受信接続を認証するときに、Managed Service for Apache Kafka は次のことを確認します。

指定されたユーザー名が、パスワードで使用されているキーのサービスアカウントと一致している。
指定されたサービスアカウントプリンシパルに、クラスタに対する権限 managedkafka.clusters.connect（roles/managedkafka.client IAM ロールに含まれる）がある。

アクセストークン

認証に使用するプリンシパルのアクセストークンを取得します。たとえば、現在の gcloud CLI プリンシパルのアクセストークンを取得します。
```
gcloud auth print-access-token
```
アクセストークンは、次のパラメータを使用して認証に使用できます。
```
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
username="PRINCIPAL_EMAIL_ADDRESS" \
password="ACCESS_TOKEN_VALUE";
```
次のように置き換えます。
- PRINCIPAL_EMAIL_ADDRESS: アクセストークンの取得に使用したプリンシパルのメールアドレス。
- ACCESS_TOKEN_VALUE: 前のステップで取得したアクセストークンの値。

クラスタへの受信接続を認証するときに、Managed Service for Apache Kafka は次のことを確認します。

アクセストークンが有効であり、期限切れになっていない。
指定されたユーザー名が、アクセストークンに関連付けられているプリンシパルのメールアドレスと一致している。
アクセストークンのプリンシパルに、クラスタに対する権限 managedkafka.clusters.connect（roles/managedkafka.client IAM ロールに含まれる）がある。

Workload Identity Federation for GKE

Managed Service for Apache Kafka は、オープンソースの Apache Kafka API に対する Workload Identity Federation for GKE を使用した認証をサポートしています。認証は、SASL/PLAIN と SASL/OAUTHBEARER の両方でサポートされています。

Managed Service for Apache Kafka で Workload Identity Federation for GKE を使用するには、次の要件を満たす必要があります。

GKE バージョン 1.31.1-gke.1241000 以降を使用します。
iam.gke.io/return-principal-id-as-email: "true" を使用して Kubernetes サービスアカウントにアノテーションを付けます。次に例を示します。
```
apiVersion: v1
kind: ServiceAccount
metadata:
  name: kafka-service-account
  annotations:
    iam.gke.io/return-principal-id-as-email: "true"
```
ローカル認証サーバーを使用する場合は、google-auth パッケージのバージョン 2.40.3 以降も使用していることを確認してください。

GKE プリンシパルに権限 managedkafka.clusters.connect（roles/managedkafka.client IAM ロールに含まれる）があることを確認します。

Managed Service for Apache Kafka は、オープンソースの Apache Kafka API に対する Fleet ワークロード ID を使用した認証をサポートしていません。代わりに、Kubernetes サービスアカウントを IAM サービスアカウントにリンクできます。

トラブルシューティング

SASL 認証の問題のトラブルシューティング方法については、認証エラーをご覧ください。

次のステップ

Apache Kafka® は、Apache Software Foundation または米国その他の諸国における関連会社の商標です。