Puoi rimuovere una singola regola di autorizzazione esistente chiamata voce ACL da una risorsa ACL Managed Service per Apache Kafka senza influire sulle altre voci dell'elenco. Questa funzionalità è utile per revocare in modo incrementale autorizzazioni specifiche.
Questa operazione è analoga all'eliminazione di un singolo binding ACL Apache Kafka e non richiede un eTag pecontrollo della contemporaneitàza.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni
necessarie per rimuovere una voce ACL,
chiedi all'amministratore di concederti il
ruolo IAM Managed Kafka ACL Editor (roles/managedkafka.aclEditor)
nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per rimuovere una voce ACL. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per rimuovere una voce ACL sono necessarie le seguenti autorizzazioni:
-
Concedi questa autorizzazione nell'ACL:
managedkafka.acls.updateEntries
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Il ruolo Managed Kafka ACL Editor (roles/managedkafka.aclEditor)
contiene l'autorizzazione necessaria per aggiungere o rimuovere singole voci ACL. Per
maggiori dettagli, consulta Ruoli predefiniti di Google Cloud Managed Service per Apache Kafka.
Rimuovere una voce ACL
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init Esegui il comando
gcloud managed-kafka acls remove-acl-entry:ACL_ID(obbligatorio): l'ID univoco della risorsa ACL Managed Service per Apache Kafka da cui vuoi rimuovere una voce. Questa variabile identifica il pattern di risorse da cui viene rimossa la voce. Per saperne di più sull'ID ACL, consulta la pagina ID ACL.CLUSTER_ID(obbligatorio): l'ID del cluster contenente la risorsa ACL.LOCATION(obbligatorio): la regione in cui si trova il cluster. Per saperne di più sulla regione, consulta Località supportate.PRINCIPAL(obbligatorio): l'utente o l'account di servizio principale della voce ACL da rimuovere. Utilizza il formatoUser:{google_service_account_email}o il carattere jollyUser:*.OPERATION(obbligatorio): il tipo di operazione della voce ACL da rimuovere. I valori consentiti includonoALL,READ,WRITE,CREATE,DELETE,ALTER,DESCRIBE,CLUSTER_ACTION,DESCRIBE_CONFIGS,ALTER_CONFIGSeIDEMPOTENT_WRITE.PERMISSION_TYPE(facoltativo, valore predefinito ALLOW): il tipo di autorizzazione da rimuovere:ALLOWoDENY.HOST(facoltativo, valore predefinito *): l'host client della voce ACL da rimuovere. Per Google Cloud Managed Service per Apache Kafka, questo valore deve essere impostato sul carattere jolly'*'.
gcloud managed-kafka acls remove-acl-entry ACL_ID \ --cluster=CLUSTER_ID \ --location=LOCATION \ --principal=PRINCIPAL \ --operation=OPERATION \ --permission-type=PERMISSION-TYPE \ --host=HOST \
Sostituisci quanto segue:
Comando di esempio
Devi specificare i dettagli esatti della voce ACL
che vuoi rimuovere utilizzando i flag --principal, --operation,
--permission-type e --host.
Esegui questo comando per rimuovere una voce ACL che consente a un service account specifico di leggere da un argomento denominato test-topic nel cluster test-cluster nella regione us-central1. Se questa voce ACL
era l'unica, l'ACL viene eliminata e la risposta contiene deleted: True.
In caso contrario, viene restituita la voce ACL aggiornata.
gcloud managed-kafka acls remove-acl-entry topic/test-topic \
--cluster=test-cluster \
--location=us-central1 \
--principal='User:service-account@test-project.iam.gserviceaccount.com' \
--operation=READ \
--permission-type=ALLOW \
--host='*' \