添加acl
假设你要添加acl “Principals User:Bob and User:Alice are allowed to perform Operation Read and Write on Topic Test-Topic from IP 198.51.100.0 and IP 198.51.100.1” 。通过执行下列选项

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100.1 --operation Read --operation Write --topic Test-topic

默认情况下所有主体没有明确的acl，拒绝允许访问操作资源。在极少数情况下，一个允许acl定义，允许访问所有，但一些主要的，我们将不得不使用——deny-principal和deny-host选项。例如，如果我们想让所有用户读取Test-topic 但只拒绝用户:BadBob  IP 198.51.100.3，我们可以使用下面的命令:

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:* --allow-host * --deny-principal User:BadBob --deny-host 198.51.100.3 --operation Read --topic Test-topic

需要注意的是``--allow-host``和``deny-host``仅支持IP地址（主机名不支持）。上面的例子中通过指定--topic [topic-name]作为资源选项添加ACL到一个主题。同样用户可以添加的ACL通过指定--cluster和消费群通过指定--group [group-name]。
删除acl
删除和添加是一样的，—add换成—remove选项，要删除第一个例子中添加的，可以使用下面的命令：

 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --remove --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100.1 --operation Read --operation Write --topic Test-topic

acl列表
我们可以通过指定与资源--list选项列出任何资源的ACL。要列出Test-topic，我们可以用下面的选项执行CLI所有的ACL：

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --topic Test-topic

添加或删除作为生产者或消费者的主体
最常见的用例ACL管理添加/删除生产者和消费者主体，所以我们更加方便的选项来处理这些。增加用户：Bob作为Test-topic ，我们可以执行以下命令的生产：

 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:Bob --producer --topic Test-topic

同样，添加Alice作为Test-topic的消费者，用消费者组为Group-1，我们只需要发送 --consumer 选项：

 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:Bob --consumer --topic test-topic --group Group-1 

注意，消费者的选择，我们还必须指定消费者组。从生产者或消费者角色删除主体，我们只需要通过--remove选项。

作者：半兽人
链接：http://orchome.com/185
来源：OrcHome