概述

AutoMQ 广泛应用于企业核心数据链路，传输业务关键数据。AutoMQ Cloud 提供了完善、灵活的数据面安全配置选项，覆盖身份识别、权限控制到数据加密。本文档介绍 AutoMQ 数据面支持的安全配置能力。

本章节仅涉及数据面实例的安全配置，关于 BYOC 控制台等管控平面的成员账号管理、RBAC等信息，请参考文档概述▸。

身份识别

AutoMQ 数据平面（AutoMQ 实例）提供 Kafka API 访问能力，该系统遵循 Apache Kafka 社区提供的身份识别协议，提供如下身份识别机制。

身份识别协议	说明
匿名模式	协议 ： PLAIN_TEXT 说明： 用户通过 Kafka API 访问集群无需设置访问凭证，以匿名身份访问 AutoMQ 实例，拥有全部操作权限。 生产环境不建议使用匿名模式，推荐通过 SASL 或者 mTLS 等协议进行严格的身份校验。
SASL模式	协议 ： SASL_PLAINTEXT 、 SASL_SSL 验证机制 ： SCRAM-SHA-256 、 SCRAM-SHA-512 、 PLAIN 说明： 用户通过 Kafka API 访问集群时，需要设置访问凭证，通过访问凭证识别身份主体，并配合 Kafka ACL 授权机制校验主体的操作权限。管理 ACL▸
Mutal TLS（mTLS）	协议 ： SSL 验证机制 ： SSL 说明： 用户通过 Kafka API 访问集群时，需要为每个客户端分配唯一的 TLS 证书，每个 TLS 证书对应 Kafka ACL 的身份主体。服务端进行 TLS 验证后识别对应的身份主体，并配合 Kafka ACL 授权机制校验主体的操作权限。管理 ACL▸

关于身份识别协议的配置和使用方法参考以下文档：

• SASL 身份识别▸

• Mutal TLS (mTLS) 身份识别▸

权限控制

AutoMQ 数据平面（AutoMQ 实例）提供 Kafka API 访问能力，该系统遵循 Apache Kafka 社区提供的 ACL 访问控制协议，提供权限控制能力。

关于 Kafka ACL 的配置和说明参考管理 ACL▸

数据保护和加密

AutoMQ Cloud 为客户提供了完善的数据传输和静态存储加密能力。

• 传输加密： 参考上方文档，AutoMQ 支持使用 mTLS 协议。当使用 mTLS 协议访问数据时，传输链路经过 TLS 加密，不会造成网络链路上的数据泄露。

• 静态数据加密： AutoMQ 基于云存储提供服务，因此天然支持数据存储加密。该功能通过创建安装 BYOC 控制台以及创建 AutoMQ 实例时开启，支持云厂商托管的密钥进行数据透明加密。

关于静态数据加密的配置，请参考 静态数据加密▸。