Puedes enumerar todos los recursos de LCA de Kafka administrado definidos dentro de un clúster específico de Managed Service para Apache Kafka. Cada recurso de ACL de Kafka administrado representa la colección de reglas de permisos o entradas de ACL para un solo patrón de recursos dentro de ese clúster.
Roles y permisos requeridos
Para obtener los permisos que necesitas para enumerar las ACL de Kafka administrado,
pídele a tu administrador que te otorgue el
rol de IAM de visualizador de ACL de Kafka administrado (roles/managedkafka.aclViewer) o visualizador de Kafka administrado (roles/managedkafka.viewer)
en el clúster o proyecto principal.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para enumerar las LCA de Kafka administrado. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para enumerar las ACL de Kafka administradas:
-
Otorga este permiso en el clúster principal:
managedkafka.acls.list
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Para obtener más información sobre los roles predefinidos de Managed Service para Apache Kafka, consulta Roles predefinidos de Managed Service para Apache Kafka.
Enumera las LCA
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init Ejecuta el comando
gcloud managed-kafka acls list:gcloud managed-kafka acls list CLUSTER_ID \ --location=LOCATION \
Reemplaza lo siguiente:
CLUSTER_ID(obligatorio): Es el ID del clúster cuyos recursos de LCA deseas enumerar.LOCATION(obligatorio): Es la región en la que se encuentra el clúster. Consulta las ubicaciones admitidas.
Comando de muestra
Ejecuta el siguiente comando para ver los detalles de la ACL asociada a un clúster llamado kafka-cluster.
gcloud managed-kafka acls list kafka-cluster \ --location=us central1 \
El resultado es similar a lo siguiente:
--- aclEntries: - host: '*' operation: ALL permissionType: ALLOW principal: User:admin@project.iam.gserviceaccount.com etag: W/da909178 name: projects/gmk-consumer-smjo/locations/us-central1/clusters/default-cluster/acls/allTopics patternType: LITERAL resourceName: '*' resourceType: TOPIC --- aclEntries: - host: '*' operation: ALL permissionType: ALLOW principal: User:admin@project.iam.gserviceaccount.com etag: W/da909178 name: projects/test-project/locations/us-central1/clusters/default-cluster/acls/cluster patternType: LITERAL resourceName: kafka-cluster resourceType: CLUSTER
El resultado incluye la siguiente información para cada recurso de ACL de Kafka administrado:
aclEntries: Es una lista de entradas de control de acceso para este recurso de LCA. Cada entrada define una regla de permiso:host: Es el host desde el que la principal puede acceder al recurso.'*'indica cualquier host.operation: Es el tipo de operación de Kafka que se otorgó o rechazó. Ejemplos:ALL,READ,WRITE.permissionType: Indica si la operación esALLOWoDENY.principal: Es la cuenta de usuario o de servicio a la que se aplica la entrada de la ACL. Por lo general, el formato esUser:{google_service_account_email}o el comodínUser:*.
etag: Se usa para el control de simultaneidad durante las actualizaciones.name: Es el identificador único del recurso de ACL de Kafka administrado, incluidos el proyecto, la ubicación, el clúster y el ID de la ACL.patternType: Es el tipo de patrón de recursos definido por el ID de la LCA (LITERALpara un recurso específico,PREFIXEDpara recursos con un prefijo común).resourceName: Es el nombre del recurso de Kafka al que se aplica la ACL. Puede ser un nombre específico, como el nombre de un tema, un prefijo o un comodín (*). Para las ACL a nivel del clúster, eskafka-cluster.resourceType: Es el tipo de recurso de Kafka al que se aplica la LCA, comoTOPIC,CLUSTER,GROUPoTRANSACTIONAL_ID.