OSS數(shù)據(jù)權(quán)限隔離
本文介紹如何使用訪問(wèn)控制RAM(Resource Access Management),對(duì)不同子賬號(hào)的OSS數(shù)據(jù)進(jìn)行隔離。
操作步驟
云賬號(hào)登錄RAM控制臺(tái)。
創(chuàng)建RAM用戶。
新建權(quán)限策略。
在左側(cè)導(dǎo)航欄中,權(quán)限管理 > 權(quán)限策略管理
單擊創(chuàng)建權(quán)限策略。
填寫(xiě)策略名稱
選擇腳本配置
腳本配置方法請(qǐng)參見(jiàn)語(yǔ)法結(jié)構(gòu)編輯策略內(nèi)容。 本例分別按照以下兩個(gè)腳本示例來(lái)創(chuàng)建兩個(gè)權(quán)限策略:
測(cè)試環(huán)境(test-bucket)
生產(chǎn)環(huán)境(prod-bucket)
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets" ], "Resource": [ "acs:oss:*:*:*" ] }, { "Effect": "Allow", "Action": [ "oss:Listobjects", "oss:GetObject", "oss:PutObject", "oss:DeleteObject" ], "Resource": [ "acs:oss:*:*:test-bucket", "acs:oss:*:*:test-bucket/*" ] } ] }{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets" ], "Resource": [ "acs:oss:*:*:*" ] }, { "Effect": "Allow", "Action": [ "oss:Listobjects", "oss:GetObject", "oss:PutObject" ], "Resource": [ "acs:oss:*:*:prod-bucket", "acs:oss:*:*:prod-bucket/*" ] } ] }按上述腳本示例進(jìn)行權(quán)限隔離后,RAM用戶在Databricks 數(shù)據(jù)洞察控制臺(tái)的權(quán)限如下:
在創(chuàng)建集群、創(chuàng)建作業(yè)和創(chuàng)建工作流的OSS文件頁(yè)面,可以看到所有的bucket,但是只能進(jìn)入被授權(quán)的bucket。
只能看到被授權(quán)的bucket下的內(nèi)容,無(wú)法看到其他bucket內(nèi)的內(nèi)容。
作業(yè)中只能讀寫(xiě)被授權(quán)的bucket,讀寫(xiě)未被授權(quán)的bucket會(huì)報(bào)錯(cuò)。
為RAM授權(quán)
單擊左側(cè)導(dǎo)航欄的人員管理 > 用戶。
單擊待授權(quán)RAM用戶所在行的添加權(quán)限。
單擊需要授予RAM用戶的權(quán)限策略,單擊確定。
單擊完成。完成授權(quán)后,權(quán)限立即生效。