本文介紹通過阿里云賬號開通OSS-HDFS服務,如何授權RAM用戶接入OSS-HDFS服務。
前提條件
已創建RAM用戶,并記錄RAM用戶的訪問密鑰(AccessKey ID和AccessKey Secret)。具體步驟,請參見創建RAM用戶。
授權RAM用戶通過EMR集群接入OSS-HDFS服務
阿里云EMR特定版本集群默認集成OSS-HDFS服務。當您希望通過RAM用戶以EMR集群的方式接入OSS-HDFS服務并執行常見操作時,只需要授予RAM用戶AliyunEMRFullAccess系統策略。該策略包含了EMR集群訪問OSS-HDFS服務所需的全部操作權限,確保EMR集群可以執行包括文件讀寫、元數據管理等在內的所有必要操作。
為RAM用戶授權的具體操作,請參見為RAM用戶授權。
授權RAM用戶通過非EMR集群接入OSS-HDFS服務
當您希望通過RAM用戶以非EMR集群的方式接入OSS-HDFS服務并執行常見操作時,需要授予RAM用戶以下自定義權限策略。
以下自定義策略用于確保JindoSDK與OSS-HDFS服務的集成和交互,執行從基本的文件讀寫到高級的數據湖管理的所有必要操作。
oss:ListObjects (
"acs:oss:*:*:*")允許RAM用戶列出Bucket中的所有對象。在HDFS接口中,用于查看目錄下的文件和子目錄。
oss:GetBucketInfo, oss:PostDataLakeStorageFileOperation, oss:PostDataLakeStorageAdminOperation(對應資源為
"*")oss:GetBucketInfo:允許獲取Bucket的基本信息,初始化連接以檢查Bucket狀態。oss:PostDataLakeStorageFileOperation和oss:PostDataLakeStorageAdminOperation:針對OSS Data Lake Storage特性的操作,涵蓋兼容HDFS基本的文件讀寫操作以及高級的元數據管理能力。
oss:*(對應Resource為
"acs:oss:*:*:*/.dlsdata","acs:oss:*:*:*/.dlsdata*")允許對Bucket下以
.dlsdata/開頭的所有資源執行任意操作。在OSS-HDFS服務中,.dlsdata路徑通常用于存儲相關的內部元數據。該權限設置確保了JindoSDK能夠處理與OSS-HDFS服務相關的所有文件操作和管理需求,包括但不限于創建、刪除、修改該路徑下的文件或目錄。
{
"Statement": [
{
"Effect": "Allow",
"Action": "oss:ListObjects",
"Resource": [
"acs:oss:*:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"oss:GetBucketInfo",
"oss:PostDataLakeStorageFileOperation",
"oss:PostDataLakeStorageAdminOperation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "oss:*",
"Resource": [
"acs:oss:*:*:*/.dlsdata",
"acs:oss:*:*:*/.dlsdata*"
]
}
],
"Version": "1"
}目前不支持通過RAM Policy或者Bucket Policy對HDFS指定文件或者目錄路徑進行授權操作。
為RAM用戶授權的具體操作,請參見為RAM用戶授權。