本文主要介紹數據湖構建(DLF)的權限體系,重點闡述如何為RAM用戶(子賬號)授予適當權限,以確保其能夠正確使用和訪問DLF的各項功能。
數據湖構建(DLF)的權限體系分為OpenAPI權限與DLF數據權限兩類。如果您要訪問DLF的頁面或數據,通常都需要通過這兩層權限校驗,才可以正確的訪問到數據資源。
OpenAPI權限:主要控制對DLF所有OpenAPI的訪問權限。此權限設計決定了RAM用戶是否可以訪問某些DLF OpenAPI或頁面。
DLF數據權限:深入數據湖內部,該權限體系細化至具體的數據資源使用與訪問權限管理。涵蓋范圍廣泛,包括但不限于數據庫、數據表以及數據目錄的訪問權限,同時涉及數據操作權限的調控。這一層次確保了即使在RAM權限允許的大前提下,用戶對具體數據資源的操作仍需遵循更為細致的授權規則,實現數據級別的精密保護。
權限校驗流程圖
權限校驗說明
第二層分為細粒度和粗粒度兩類數據權限控制。只要“DLF細粒度數據權限”與“RAM DLF-DSS粗粒度數據權限”兩者之間有一個通過數據權限校驗,那么該用戶就具備該數據權限。反之,必須兩者都不通過數據校驗,該用戶才不具備該數據權限。
第一層:RAM OpenAPI權限
此層級集中管理對DLF所有OpenAPI訪問權限的控制,確保RAM用戶僅能訪問其被授權的功能或頁面。在RAM控制臺預設了兩種授權策略,以適應不同的訪問需求。
策略名稱 | 說明 |
AliyunDLFFullAccess | 具備所有DLF OpenAPI的調用權限,適合需要進行全面數據湖管理的用戶。 |
AliyunDLFReadOnlyAccess | 旨在提供只讀權限,表示具備所有DLF只讀OpenAPI(例如,List、Get操作)的調用權限。該策略禁止執行任何寫入或刪除操作(Create、Delete等)。 |
第二層:RAM DLF-DSS粗粒度數據權限
此層級主要控制DLF內資源的訪問和使用權限,包括數據目錄、數據庫和數據表,以及角色、用戶和新增授權等操作權限。在RAM控制臺預設了兩種授權策略,以適應不同的訪問需求。
策略名稱 | 說明 |
AliyunDLFDSSFullAccess | 具備所有DLF細粒度資源的訪問權限。 |
AliyunDLFDSSReadOnlyAccess | 具備所有DLF細粒度資源的只讀訪問權限。例如,List、Get、Select、Execute操作。 |
目前“RAM DLF-DSS粗粒度數據權限”主要用于阿里云內部產品之間的快速互信使用。因此,建議您使用“DLF細粒度數據權限”以實現更為精細的數據權限控制。
如果RAM用戶(子賬戶)被授予AdministratorAccess系統策略,則該用戶將具備DLF-DSS的所有權限,等同于AliyunDLFDSSFullAccess。
第二層:DLF細粒度數據權限
此層級主要控制DLF內資源的訪問和使用權限,包括數據目錄、數據庫和數據表,以及角色、用戶和新增授權等操作權限。
為了方便管理員整體進行數據權限管理,DLF提供了內置的數據權限管理員角色,您可以在頁面看到這兩個角色,并將某些用戶添加到該角色下。更加細粒度的權限配置,請參見數據權限概述。
角色名稱 | 角色描述 | 角色說明 |
admin | 數據湖管理員 | 擁有數據湖構建中,所有的數據權限及授權權限,以及添加自建角色、新建Catalog。 |
super_administrator | 超級管理員 | 擁有數據湖構建中,所有admin角色的權限,并可以修改admin角色的用戶。開通DLF 2.0的RAM用戶會被默認添加為當前地域的DLF超級管理員。 說明 如果RAM用戶(子賬戶)被授予AdministratorAccess系統策略,則相當于具備DLF超級管理員角色的權限。 |