本文主要介紹數據湖構建(DLF)的權限體系說明,介紹如何為子賬號授予合適的權限,以便其可以正確使用和訪問DLF的功能。
數據湖構建(DLF)產品的權限體系主要分為RAM權限以及DLF數據權限控制兩大類,如果您要訪問DLF的頁面或數據,一般都需要通過這兩層權限校驗,才可以正確的訪問到數據資源。
RAM 權限:主要控制DLF所有OpenAPI的訪問權限,決定RAM用戶是否可以訪問某些DLF OpenAPI或頁面。
DLF數據權限:主要控制DLF內部資源的訪問和使用權限,包括數據庫、數據表、數據列、函數、數據目錄等,以及數據權限的操作權限。
DLF權限校驗的示例圖:
第一層:RAM OpenAPI 權限
主要控制DLF所有OpenAPI的訪問權限,決定RAM用戶是否可以訪問某些DLF OpenAPI或頁面。在RAM控制臺內置了以下兩種授權策略:
AliyunDLFFullAccess:表示具備所有DLF OpenAPI的調用權限。
AliyunDLFReadOnlyAccess:表示具備所有DLF只讀OpenAPI(例如List/Get類的API)的調用權限。但不具備如Create/Delete等OpenAPI調用權限。
您也可以根據自己的權限控制需求,自定義RAM授權策略,滿足更細粒度的OpenAPI層面的權限控制。
第二層:DLF細粒度數據權限
主要控制DLF內部資源的訪問和使用權限,包括數據庫、數據表、數據列、函數、數據目錄等,以及角色/用戶/新增授權等操作權限。
在第二層主要進行數據權限控制,分為細粒度和粗粒度兩類,“DLF細粒度數據權限”與“RAM DLF-DSS粗粒度數據權限”兩者之間是或者的關系,只要兩者之間有一個通過數據權限校驗,那么該用戶就具備該數據權限。反之,必須兩者都不通過數據校驗,該用戶才不具備該數據權限。
只有在開啟Catalog權限設置開關后,針對數據資源類的權限,如數據庫、數據表、數據列、函數、數據目錄的數據權限校驗才會生效。而角色/用戶/新增授權等操作權限無論Catalog權限是否開啟,都會受到細粒度數據權限校驗。
為了方便管理員整體進行數據權限管理,DLF提供了內置的數據權限管理員角色,您可以在“數據權限-角色”菜單下找到這兩個角色,并將某些用戶加到該角色下:
admin(數據湖管理員):擁有數據湖構建中,所有的數據權限及授權權限。
super_administrator(超級管理員):擁有數據湖構建中,所有的數據權限及授權權限,可以對admin的用戶進行修改。
更加細粒度的權限配置,請參考數據權限概述。
第二層:RAM DLF-DSS粗粒度數據權限
主要控制DLF內部資源的訪問和使用權限,包括數據庫、數據表、數據列、函數、數據目錄等,以及角色/用戶/新增授權等操作權限。在RAM控制臺內置了以下兩種授權策略:
AliyunDLFDSSFullAccess:表示具備所有DLF細粒度資源的訪問權限。
AliyunDLFDSSReadOnlyAccess:表示具備所有DLF細粒度資源的只讀訪問權限,包括List/Get/Select/Execute等。
“RAM DLF-DSS粗粒度數據權限”目前適用場景不多,主要用于阿里云內部產品間快速互信使用,建議您使用“DLF細粒度數據權限”進行細粒度的數據權限控制。
只有在開啟Catalog權限設置開關后,針對數據資源類的權限,如數據庫、數據表、數據列、函數、數據目錄的數據權限校驗才會生效。而角色/用戶/新增授權等操作權限無論Catalog權限是否開啟,都會受到DLF-DSS粗粒度數據權限校驗。
如果子賬號被授予RAM AdministratorAccess,則該用戶將具備DLF-DSS所有權限,等同于AliyunDLFDSSFullAccess。
常見場景說明
僅使用DLF元數據,不需要進行數據權限控制,但期望子賬號具備元數據查詢等權限。
為子賬號授予“第一層:RAM OpenAPI 權限”,根據需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess內置授權策略即可。
需要使用DLF數據權限控制,做細粒度的數據授權管理。
第一步,為子賬號授予“第一層:RAM OpenAPI 權限”,根據需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess內置授權策略即可。
第二步,先開啟Catalog的權限設置。
第三步(可選),如你使用EMR等產品進行查詢和修改數據,則需要在EMR集群同樣開啟DLF-Auth權限開關。
第四步,授予子賬號相應數據權限,有以下幾種常見方式:
權限常見問題
問題一:訪問時提示無RAM DLF API相關權限。
具體表現為:頁面提示需要RAM進行授權dlf:xxx權限,需要在RAM上授予AliyunDLF相關OpenAPI層權限,DLF在RAM上已內置AliyunDLFFullAccess及AliyunDLFReadOnlyAccess權限,用戶可參考進行授予。
問題二:授權時提示無資源權限。
具體表現為:進行權限授予時提示沒有dlf permission權限。
授予用戶對應資源的授權權限(也可通過授予角色獲得)。參考新增授權。
授予用戶數據湖admin/super_administrator角色。參考角色管理。
授予用戶dlf-dss權限,例如:dlf-dss:BatchGrantPermissions + dlf-dss: SelectTable表示該用戶可以授予所有表的select權限給其他用戶。
問題三:調用控制類API無權限(例如權限相關listPermissions等,角色相關listRoles等)。
具體表現為調用控制類API出錯,例如進行權限查詢,角色管理時提示對應操作沒有權限,錯誤碼為NoPermission。有以下途徑可以解決問題:
授予用戶數據湖admin/super_administrator角色。參考角色管理。
授予用戶dlf-dss權限,DLF在RAM上已內置AliyunDLFDSSFullAccess及AliyunDLFDSSReadOnlyAccess權限,例如:
dlf-dss:ListRoles表示該用戶可以查看所有DLF中的角色。
dlf-dss:ListPermissions表示該用戶可以查看所有DLF中已授予的權限。
