ACLファイルの使用
EMQXは、ACLファイルに格納された事前定義されたルールに基づく認可チェックをサポートしています。ファイル内に複数の認可チェックルールを設定することが可能です。クライアントの操作リクエストを受け取ると、EMQXはACLファイル内の認可ルールを上から順に照合します。ルールにマッチした場合、その設定に従って現在のリクエストを許可または拒否し、その後のルール照合を停止します。
ファイルベースのACLはシンプルかつ軽量であり、一般的なルールの設定に適しています。クライアントごとに数百件以上のルールがある場合は、他の認可ソースの利用を推奨します。ファイルベースのACLは認可チェーンの最後の安全装置として機能させることができます。
ACLファイル形式
ACLファイルに基づく認可チェックを行う前に、認可ルールをErlangタプルのデータリスト形式でファイルに保存する必要があります。
ACL設定ファイルは、ピリオドで終わるErlangタプルのリストです。_タプル_とは、カンマ区切りの式のリストであり、全体のリストは中括弧で囲まれています。
%%で始まる行はコメントとして認識され、解析時に無視されます。
例:
%% ユーザー名が "dashboard" のMQTTクライアントに "$SYS/#" トピックのサブスクライブを許可
{allow, {user, "dashboard"}, subscribe, ["$SYS/#"]}.
%% IPアドレス "127.0.0.1" のユーザーに "$SYS/#", "#" トピックのパブリッシュ/サブスクライブを許可
{allow, {ipaddr, "127.0.0.1"}, all, ["$SYS/#", "#"]}.
%% "すべてのユーザー" に `$SYS/#`, `#` および `+/#` のサブスクライブを拒否
{deny, all, subscribe, ["$SYS/#", {eq, "#"}, {eq, "+/#"}]}.
%% その他のパブリッシュ/サブスクライブ操作をすべて許可
%% 注意:本番環境では最後のルールを `{deny, all}` に変更し、設定 `authorization.no_match = deny` を推奨
{allow, all}.ルールは上から順に照合され、マッチしたルールの権限が適用され、残りのルールは無視されます。
タプルの第1要素は、ルールがマッチした場合に適用される権限を示します。可能な値は以下の通りです:
allowdeny
タプルの第2要素は、ルールが適用されるクライアントを表します。以下の指定方法とその組み合わせが利用可能です:
{username, "dashboard"}:ユーザー名がdashboardのクライアント。{user, "dashboard"}も可。{username, {re, "^dash"}}:ユーザー名が正規表現^dashにマッチするクライアント。{clientid, "dashboard"}:クライアントIDがdashboardのクライアント。{client, "dashboard"}とも記述可能。{clientid, {re, "^dash"}}:クライアントIDが正規表現^dashにマッチするクライアント。{client_attr, "name", "dashboard"}:クライアント属性nameがdashboardと等しいクライアント。{client_attr, "name", {re, "^dash"}}:クライアント属性nameが正規表現^dashにマッチするクライアント。{ipaddr, "127.0.0.1"}:IPアドレス127.0.0.1から接続するクライアント。ネットマスクも使用可能。EMQXがロードバランサーの背後にある場合、クライアントのMQTTリスナーに対してproxy_protocolを有効にする必要があります。{ipaddrs, ["127.0.0.1", ..., ]}:指定された複数のIPアドレスのいずれかから接続するクライアント。ネットマスクも使用可能。all:すべてのクライアント。{'and', [Spec1, Spec2, ...]}:リスト内のすべての条件を満たすクライアント。{'or', [Spec1, Spec2, ...]}:リスト内のいずれかの条件を満たすクライアント。
タプルの第3要素は、ルールが適用される操作を示します。
publish:パブリッシュ操作に適用されるルール。subscribe:サブスクライブ操作に適用されるルール。all:パブリッシュおよびサブスクライブの両方に適用されるルール。- EMQX v5.1.1以降では、パブリッシュおよびサブスクライブ操作におけるQoSや保持メッセージフラグのチェックが可能です。第3要素に
qosやretainを追加して指定できます。例:{publish, [{qos, 1}, {retain, false}]}:QoSが1で保持メッセージでないパブリッシュを拒否。{publish, {retain, true}}:保持メッセージのパブリッシュを拒否。{subscribe, {qos, 2}}:QoS2のトピックのサブスクライブを拒否。
タプルの第4要素は、ルールが適用されるトピックを指定します。トピックはパターンのリストで指定し、トピックプレースホルダーを使用できます。利用可能なパターンは以下の通りです:
"t/${clientid}"のような文字列値:トピックプレースホルダーを使用しています。クライアントIDがemqx_cのクライアントが認可チェックを行う際、正確にt/emqx_cトピックにマッチします。"$SYS/#"のような文字列値:ワイルドカードを許可する標準的なトピックフィルターです。トピックフィルターはMQTT仕様に従ってトピックにマッチします。例えば、$SYS/#はパブリッシュでは$SYS/foo、$SYS/foo/barに、サブスクライブでは$SYS/foo、$SYS/foo/#、$SYS/#にマッチします。トピックプレースホルダーも使用可能です。{eq, "foo/#"}のようなeqタプル:トピック文字列の完全一致を示します。このパターンはすべての操作に対して正確にfoo/#トピックにマッチします。ワイルドカードやプレースホルダーは考慮されません。つまり、foo/barトピックにはマッチしません。
さらに、通常設定の最後にデフォルトとして使用される2つの特別なルールがあります。
{allow, all}:すべての操作を許可。{deny, all}:すべての操作を拒否。
ダッシュボードでの設定
EMQXはデフォルトでファイルベースの認可機能を有効にしています。Actions列のSettingsボタンをクリックすると、ACLファイルエリアに設定された認可ルールを表示・編集できます。ファイル形式やフィールドの詳細については、ACLファイル形式を参照してください。
設定ファイルでの設定
ファイルベースの認可機能は type が file の設定で識別されます。
設定例:
authorization {
deny_action = ignore
no_match = deny
sources = [
{
type = file
enable = true
path = "etc/acl.conf"
}
]
}各項目の説明:
type:認可機能のデータソースタイプ。ここではfile。enable:認可機能を有効化するかどうか。オプション値はtrueまたはfalse。path:設定ファイルのパス。デフォルトはetc/acl.conf。ダッシュボードやREST APIでファイルベースの認可機能を編集した場合、EMQXは新しいファイルをdata/authz/acl.confに保存し、元のファイルの読み込みを停止します。
TIP
path 設定で指定された初期ファイルはEMQXによって変更されません。
ダッシュボードUIや管理APIからルールが更新されると、新しいルールは data/authz/acl.conf に保存され、元の設定ファイルは読み込まれなくなります。