消息队列 Kafka版兼容开源 Kafka 的 ACL 权限策略，提供 SASL 用户管理功能，您可以按需为 SASL 用户赋予收发消息的权限。本文介绍通过控制台创建 SASL 用户的操作步骤。

背景信息

消息队列 Kafka版兼容 ACL 权限策略，支持SASL安全机制，并提供 PLAIN 和 SCRAM 两种类型的 SASL 用户，分别用于 PLAIN 和 SCRAM-SHA-256 机制下生产和消费消息。创建 SASL 用户之后，Kafka 实例会提供 SASL 接入点，通过 SASL 用户名及密码鉴权后才能通过此接入点登录 Kafka 实例。

操作步骤

1. 登录消息队列 Kafka版控制台。

2. 在顶部导航栏选择地域。

3. 在实例列表页面，单击目标 Kafka 实例名称。

4. 在用户管理页签中，单击创建用户。

5. 设置相关参数。

   参数	说明
   用户名	SASL 用户名。须满足以下要求： 长度范围为 3~64 个字符。 只能包含英文、数字、连字符（-）和下划线（_）。 不支持设置为 admin 或 monitor。 同一实例下用户名不可重复。
   密码类型	用户密码类型，即 SASL 用户的类型，支持设置为： Scram：SCRAM 类型的 SASL 用户。 Plain：PLAIN 类型的 SASL 用户。 说明 如果创建 PLAIN 类型用户，则延迟 1 分钟生效。创建后请耐心等待。
   密码	SASL 用户密码。须满足以下要求： 8~32 个字符。 包含大写字母、小写字母、数字、特殊字符中的三种。 特殊字符包括 !@#$%^&*()_+-=。
   确认密码	再次输入密码。
   描述	SASL 用户的描述，长度为 1~128。

6. 设置是否开启用户 All Permitted 功能。
   All Permitted 类似默认权限，可以配合 ACL 权限使用。

   • 开启 All Permitted：此用户对实例内所有 Topic 和 Group 都拥有读写权限。
   • 关闭 All Permitted：此用户对实例内所有 Topic 和 Group 都不具备任何权限。此时可以为此用户添加对于指定 Topic、Group 的权限。详细说明请参考创建 ACL。

7. 单击确定。

相关操作

创建 SASL 用户后，您还可以对此 SASL 用户进行以下相关操作：

• 修改 ALL Permitted 权限状态
  在目标实例的用户管理页签中找到指定 SASL 用户，并在对应的 All Permitted 一列中开启或关闭按钮，表示开启或关闭 All Permitted。

  说明

  关闭前，请确认没有正在运行的应用通过此用户进行鉴权认证，以免影响线上业务。

• 创建 ACL
  如果 SASL 用户关闭了 All Permitted，可以通过 ACL 设置细粒度的权限策略。
• 重置 SASL 用户密码
• 查看 PLAIN 用户密码
• 删除 SASL 用户