Data Lake Formation (DLF) memungkinkan Anda mengonfigurasi izin pada basis data, tabel, kolom, dan fungsi dalam danau data. Topik ini menjelaskan izin yang diperlukan untuk berbagai operasi, memperkenalkan konsep pemilik dan izin pemilik, serta mekanisme verifikasi izin.
Pengelolaan Izin
Permission konfigurasi
Anda dapat mengaktifkan atau menonaktifkan kontrol izin pada katalog data. Untuk informasi lebih lanjut, lihat Konfigurasi Izin.
Informasi Latar Belakang
Tabel berikut menjelaskan tiga elemen yang harus ditentukan saat mengonfigurasi izin:
Elemen | Deskripsi |
Prinsipal | Pengguna atau peran kepada siapa izin diberikan. Pengguna harus berupa akun Alibaba Cloud, pengguna RAM, atau peran RAM. Peran harus dibuat di konsol DLF. Untuk informasi lebih lanjut tentang cara membuat peran di konsol DLF, lihat Pengelolaan Peran. Anda dapat menentukan subjek dalam salah satu format berikut:
|
Sumber Daya | Sumber daya yang dikelola dalam danau data.
|
Akses | Metode yang digunakan untuk mengakses sumber daya. Metode akses bervariasi tergantung pada jenis sumber daya. Misalnya, basis data mendukung metode Create Table dan List, tabel mendukung metode Select dan Update, dan kolom hanya mendukung metode Select. |
Ikhtisar Izin
Tabel berikut menjelaskan izin yang didukung untuk danau data:
Sumber Daya | Akses | Deskripsi |
Katalog | Alter | Izin untuk memodifikasi katalog. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi |
Drop | Izin untuk menghapus katalog. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Grant | Izin untuk melakukan operasi otorisasi pada katalog. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Create Database | Izin untuk membuat basis data di katalog. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Basis Data | Describe | Izin untuk menanyakan metadata basis data atau memilih basis data. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi |
Alter | Izin untuk memodifikasi basis data. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Drop | Izin untuk menghapus basis data. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Create Table | Izin untuk membuat tabel dalam basis data. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
List | Izin untuk menanyakan sumber daya yang termasuk dalam basis data. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi Penting
| |
Tabel | Describe | Izin untuk menanyakan metadata tabel. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi |
Alter | Izin untuk memodifikasi tabel. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Drop | Izin untuk menghapus tabel. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Select | Izin untuk menanyakan data tabel. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Update | Izin untuk memperbarui data tabel. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi | |
Kolom | Select | Izin untuk menanyakan data kolom. Misalnya, pengguna yang diberi izin ini dapat mengeksekusi |
Fungsi | Describe | Izin untuk menanyakan metadata fungsi. |
Alter | Izin untuk memodifikasi informasi tentang fungsi. | |
Drop | Izin untuk menghapus fungsi. | |
Execute | Izin untuk menggunakan atau mengeksekusi fungsi. |
Izin Pemilik
Definisi Pemilik
Pengguna yang membuat sumber daya disebut sebagai pemilik sumber daya tersebut. Informasi pemilik basis data atau tabel dapat dilihat di bagian Informasi Dasar yang sesuai.
Saat basis data atau tabel dibuat di Data Lake Formation oleh pengguna RAM Alibaba Cloud, pengguna RAM tersebut menjadi pemilik sumber daya. Pemilik direpresentasikan dalam format yang sesuai dengan pengguna.
Jika menggunakan pengguna Linux atau Lightweight Directory Access Protocol (LDAP) untuk mengeksekusi pernyataan SQL di mesin EMR untuk membuat sumber daya, pengguna Linux atau LDAP menjadi pemilik sumber daya tersebut.
Mesin Databricks tidak mendukung pemilik sumber daya.
Di DLF, jika pengguna RAM dan pengguna Linux atau LDAP memiliki nama pengguna yang sama, mereka dianggap setara sebagai pemilik sumber daya. Misalnya, pengaturan berikut memiliki efek yang sama: Owner=acs:ram::<ID Pengguna Akun Alibaba Cloud>:user/user_a dan Owner=user_a. Ini memungkinkan Anda menggunakan pengguna RAM untuk melakukan operasi pada sistem big data open source berdasarkan izin yang diberikan.
Jika menggunakan akun Alibaba Cloud sebagai pemilik sumber daya, tidak ada pengguna Linux atau LDAP yang setara. Harap dicatat bahwa pengaturan Owner=acs:ram::<ID Pengguna Akun Alibaba Cloud>:root tidak setara dengan pengaturan Owner=root.
Untuk melihat nama pengguna RAM, lakukan langkah-langkah berikut: Masuk ke konsol DLF dan pilih Data Permission > User di panel navigasi sebelah kiri. Di halaman yang muncul, temukan pengguna RAM dan klik nama masuk. Jika menggunakan mesin EMR, disarankan untuk menambahkan pengguna Linux atau LDAP yang memiliki nama pengguna yang sama dengan pengguna RAM Anda. Untuk informasi lebih lanjut tentang cara menambahkan pengguna, lihat Kelola Akun Pengguna.
Definisi Izin Pemilik
Pemilik sumber daya diberikan semua izin pada sumber daya tersebut. Izin yang diberikan kepada pemilik sumber daya disebut izin pemilik. Misalnya, jika pemilik basis data adalah user_a, user_a dapat melakukan operasi seperti Alter Database dan Drop Database.
Pemilik sumber daya tidak diberikan izin pada sub-sumber daya yang termasuk dalam sumber daya tersebut. Misalnya, pemilik basis data hanya diberikan izin pada basis data dan tidak diberikan izin pada semua tabel dalam basis data.
Verifikasi Izin Pemilik
Saat masuk ke konsol DLF sebagai pengguna RAM, Anda diidentifikasi sebagai pengguna RAM. Anda secara otomatis diberikan izin pemilik pada sumber daya yang dibuat oleh pengguna RAM atau pengguna yang setara dengan pengguna RAM tersebut.
Saat menggunakan mesin EMR untuk mengakses metadata dalam danau data, Anda diidentifikasi sebagai pengguna Linux atau LDAP. Anda secara otomatis diberikan izin pemilik pada sumber daya yang dibuat oleh pengguna Linux atau LDAP atau pengguna yang setara dengan pengguna Linux atau LDAP tersebut.
Mesin Databricks tidak mendukung verifikasi izin pemilik.
Mesin komputasi yang didukung
Tabel berikut mencantumkan mesin komputasi yang didukung oleh DLF di berbagai versi EMR:
Mesin komputasi yang didukung
Tabel berikut mencantumkan mesin komputasi yang didukung oleh DLF di berbagai versi EMR.
Versi EMR | Hive | Spark | Presto | Impala | |
EMR V3.X | EMR V3.39.0 dan sebelumnya | Tidak didukung | Tidak didukung | Tidak didukung | Tidak didukung |
EMR-3.40.0 | Didukung | Didukung | Didukung | Tidak didukung | |
EMR V3.41.0 hingga EMR V3.43.1 | Didukung | Didukung | Tidak didukung | Tidak didukung | |
EMR V3.44.0 dan seterusnya (dalam perencanaan) | Didukung | Didukung | Didukung | Didukung | |
EMR V5.X | EMR V5.5.0 dan sebelumnya | Tidak didukung | Tidak didukung | Tidak didukung | Tidak didukung |
EMR-5.6.0 | Didukung | Didukung | Didukung | Tidak didukung | |
EMR V5.7.0 hingga EMR V5.9.1 | Didukung | Didukung | Tidak didukung | Tidak didukung | |
EMR V5.10.0 dan seterusnya (dalam perencanaan) | Didukung | Didukung | Didukung | Didukung | |