跳转到主要内容
AutoMQ 广泛应用于企业核心数据链路,传输业务关键数据。AutoMQ Cloud 提供了完善、灵活的数据面安全配置选项,覆盖身份识别、权限控制到数据加密。本文档介绍 AutoMQ 数据面支持的安全配置能力。
本章节仅涉及数据面实例的安全配置,关于 BYOC 控制台等管控平面的成员账号管理、RBAC等信息,请参考文档概述▸

身份识别

AutoMQ 数据平面(AutoMQ 实例)提供 Kafka API 访问能力,该系统遵循 Apache Kafka 社区提供的身份识别协议,提供如下身份识别机制。
身份识别协议
说明
匿名模式
  • 协议PLAIN_TEXT
  • 说明: 用户通过 Kafka API 访问集群无需设置访问凭证,以匿名身份访问 AutoMQ 实例,拥有全部操作权限。

生产环境不建议使用匿名模式,推荐通过 SASL 或者 mTLS 等协议进行严格的身份校验。

SASL模式
  • 协议SASL_PLAINTEXTSASL_SSL
  • 验证机制SCRAM-SHA-256SCRAM-SHA-512PLAIN
  • 说明: 用户通过 Kafka API 访问集群时,需要设置访问凭证,通过访问凭证识别身份主体,并配合 Kafka ACL 授权机制校验主体的操作权限。管理 ACL▸
Mutal TLS(mTLS)
  • 协议SSL
  • 验证机制SSL
  • 说明: 用户通过 Kafka API 访问集群时,需要为每个客户端分配唯一的 TLS 证书,每个 TLS 证书对应 Kafka ACL 的身份主体。服务端进行 TLS 验证后识别对应的身份主体,并配合 Kafka ACL 授权机制校验主体的操作权限。管理 ACL▸
关于身份识别协议的配置和使用方法参考以下文档:

权限控制

AutoMQ 数据平面(AutoMQ 实例)提供 Kafka API 访问能力,该系统遵循 Apache Kafka 社区提供的 ACL 访问控制协议,提供权限控制能力。 关于 Kafka ACL 的配置和说明参考管理 ACL▸

数据保护和加密

AutoMQ Cloud 为客户提供了完善的数据传输和静态存储加密能力。
  • 传输加密: 参考上方文档,AutoMQ 支持使用 mTLS 协议。当使用 mTLS 协议访问数据时,传输链路经过 TLS 加密,不会造成网络链路上的数据泄露。
  • 静态数据加密: AutoMQ 基于云存储提供服务,因此天然支持数据存储加密。该功能通过创建安装 BYOC 控制台以及创建 AutoMQ 实例时开启,支持云厂商托管的密钥进行数据透明加密。
关于静态数据加密的配置,请参考 静态数据加密▸