您可以查看特定 Managed Service for Apache Kafka ACL 资源的详细信息,包括其中包含的各个权限规则或 ACL 条目的列表。此命令可让您检查集群中应用于特定资源模式的当前权限。
所需的角色和权限
如需获得查看(描述)受管 Kafka ACL 所需的权限,请让您的管理员为您授予受管 Kafka ACL 资源的 Managed Kafka ACL Viewer (roles/managedkafka.aclViewer) 或 Managed Kafka Viewer (roles/managedkafka.viewer) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含查看(描述)受管 Kafka ACL 所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需查看(描述)受管理的 Kafka ACL,需要具备以下权限:
-
获取(查看)ACL:
managedkafka.acls.get
Managed Kafka ACL Viewer (roles/managedkafka.aclViewer) 或更广泛的 Managed Kafka Viewer (roles/managedkafka.viewer) 角色包含查看 ACL 资源所需的权限。如需了解详情,请参阅 Google Cloud Managed Service for Apache Kafka 预定义角色。
查看 ACL
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
gcloud managed-kafka acls describe ACL_ID \ --cluster=CLUSTER_ID \ --location=LOCATION \
替换以下内容:
示例命令
运行以下命令以显示指定 Managed Service for Apache Kafka ACL 资源(名为 test_ACL)的属性。
gcloud managed-kafka acls describe test_ACL \ --cluster=default-cluster \ --location=us-central1 \
以下是该命令的输出示例。输出会显示 ACL ID、其适用的资源模式、用于更新的当前 eTag 以及各个 ACL 条目的列表
aclEntries:
- host: '*'
operation: ALL
permissionType: ALLOW
principal: User:admin@test-project.iam.gserviceaccount.com
etag: W/da909178
name: projects/test-project/locations/us-central1/clusters/default-cluster/acls/test_ACL
patternType: LITERAL
resourceName: default-cluster
resourceType: CLUSTER
describe 命令的输出提供有关 Managed Service for Apache Kafka ACL 资源的信息:
aclEntries:这是一个列表,其中包含为此 ACL 定义的所有访问控制条目(权限规则)。每个条目都包含以下字段:host:ACL 条目的客户端主机。operation:相应条目所适用的 Kafka 操作。permissionType:访问权限是ALLOW还是DENY。principal:相应条目所针对的用户或服务账号。
etag:这是 ACL 资源的实体标记。它用于在后续更新期间进行乐观并发控制。name:ACL 资源的唯一标识符。其格式为projects/{project}/locations/{location}/clusters/{cluster}/acls/{acl_id}。patternType:相应 ACL 的资源模式类型,例如LITERAL。resourceName:相应 ACL 所适用的 Kafka 资源的名称。resourceType:Kafka 资源类型。