Vous pouvez supprimer une seule règle d'autorisation existante, appelée entrée LCA, d'une ressource LCA Managed Service pour Apache Kafka sans affecter les autres entrées de la liste. Cette fonctionnalité est utile pour révoquer des autorisations spécifiques de manière incrémentielle.
Cette opération est analogue à la suppression d'une liaison ACL Apache Kafka unique et ne nécessite pas d'eTag pour le contrôle de la simultanéité.
Rôles et autorisations nécessaires
Pour obtenir les autorisations nécessaires pour supprimer une entrée de LCA, demandez à votre administrateur de vous accorder le rôle IAM Éditeur de LCA Kafka géré (roles/managedkafka.aclEditor) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations nécessaires pour supprimer une entrée ACL. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour supprimer une entrée ACL :
-
Accordez cette autorisation dans la LCA :
managedkafka.acls.updateEntries
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Le rôle Éditeur de LCA Managed Kafka (roles/managedkafka.aclEditor) contient l'autorisation nécessaire pour ajouter ou supprimer des entrées de LCA individuelles. Pour en savoir plus, consultez Rôles prédéfinis de Google Cloud Managed Service pour Apache Kafka.
Supprimer une entrée de la LCA
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init Exécutez la commande
gcloud managed-kafka acls remove-acl-entry:ACL_ID(obligatoire) : ID unique de la ressource LCA Managed Service pour Apache Kafka à partir de laquelle vous souhaitez supprimer une entrée. Cette variable identifie le modèle de ressource à partir duquel l'entrée est supprimée. Pour en savoir plus sur l'ID de la LCA, consultez ID de la LCA.CLUSTER_ID(obligatoire) : ID du cluster contenant la ressource ACL.LOCATION(obligatoire) : région dans laquelle se trouve le cluster. Pour en savoir plus sur la région, consultez la section Emplacements disponibles.PRINCIPAL(obligatoire) : compte utilisateur ou de service principal de l'entrée ACL à supprimer. Utilisez le formatUser:{google_service_account_email}ou le caractère génériqueUser:*.OPERATION(obligatoire) : type d'opération de l'entrée de la LCA à supprimer. Les valeurs autorisées sontALL,READ,WRITE,CREATE,DELETE,ALTER,DESCRIBE,CLUSTER_ACTION,DESCRIBE_CONFIGS,ALTER_CONFIGSetIDEMPOTENT_WRITE.PERMISSION_TYPE(facultatif, valeur par défaut ALLOW) : type d'autorisation à supprimer (ALLOWouDENY).HOST(facultatif, valeur par défaut : *) : hôte client de l'entrée LCA à supprimer. Pour Google Cloud Managed Service pour Apache Kafka, cette valeur doit être définie sur le caractère générique'*'.
gcloud managed-kafka acls remove-acl-entry ACL_ID \ --cluster=CLUSTER_ID \ --location=LOCATION \ --principal=PRINCIPAL \ --operation=OPERATION \ --permission-type=PERMISSION-TYPE \ --host=HOST \
Remplacez les éléments suivants :
Exemple de commande
Vous devez spécifier les détails exacts de l'entrée ACL que vous souhaitez supprimer à l'aide des indicateurs --principal, --operation, --permission-type et --host.
Exécutez la commande suivante pour supprimer une entrée ACL qui autorise un compte de service spécifique à lire un sujet nommé test-topic dans le cluster test-cluster de la région us-central1. Si cette entrée de LCA était la seule, le LCA est supprimé et la réponse contient deleted: True.
Sinon, l'entrée de la LCA mise à jour est renvoyée.
gcloud managed-kafka acls remove-acl-entry topic/test-topic \
--cluster=test-cluster \
--location=us-central1 \
--principal='User:service-account@test-project.iam.gserviceaccount.com' \
--operation=READ \
--permission-type=ALLOW \
--host='*' \