Topik ini menjelaskan sistem izin Data Lake Formation (DLF) dan cara memberikan izin kepada pengguna Resource Access Management (RAM) sehingga mereka dapat menggunakan fitur-fitur DLF dengan benar.
Izin DLF terbagi dalam dua kategori utama: izin RAM dan izin data DLF. Umumnya, Anda perlu melewati dua tingkat verifikasi izin ini sebelum dapat mengakses sumber daya data secara benar.
Izin RAM: Mengontrol akses ke semua operasi API DLF dan menentukan apakah pengguna RAM dapat mengakses operasi API atau halaman tertentu di DLF.
Izin data DLF: Mengontrol akses dan penggunaan sumber daya internal DLF, termasuk basis data, tabel, kolom, fungsi, dan katalog data. Mereka juga mengatur manajemen izin data.
Lapisan 1: Izin operasi API untuk pengguna RAM
Lapisan ini mengontrol izin akses pada semua operasi API DLF dan menentukan apakah pengguna RAM dapat mengakses operasi API atau halaman tertentu di DLF. Dua kebijakan otorisasi bawaan berikut tersedia di Konsol RAM:
AliyunDLFFullAccess: Mendefinisikan izin untuk memanggil semua operasi API DLF.
AliyunDLFReadOnlyAccess: Mendefinisikan izin untuk memanggil semua operasi API DLF yang bersifat hanya-baca, seperti operasi List dan Get API. Namun, tidak memberikan izin untuk memanggil operasi API lainnya seperti Create dan Delete.
PentingPemanggilan API SubmitQuery dianggap sebagai operasi tulis. Untuk berhasil memanggil operasi API SubmitQuery, lampirkan kebijakan
AliyunDLFFullAccesskepada pengguna RAM.
Anda juga dapat menyesuaikan kebijakan otorisasi RAM sesuai dengan persyaratan kontrol akses Anda untuk menerapkan kontrol akses yang lebih rinci pada tingkat operasi API.
Lapisan 2: Izin data granular DLF
Lapisan ini mengontrol izin untuk mengakses dan menggunakan sumber daya internal DLF, termasuk basis data, tabel, kolom, fungsi, dan katalog data. Ini juga mengatur izin untuk mengelola peran, pengguna, dan izin.
Lapisan kedua terutama mengontrol izin data, yang dibagi menjadi dua kategori: "izin data granular DLF" dan "izin data kasar DLF-DSS untuk pengguna RAM". Hubungan OR ada antara kedua kategori tersebut. Selama pengguna lulus salah satu dari dua verifikasi izin data, pengguna tersebut memiliki izin data. Jika kedua verifikasi izin data gagal, pengguna tidak memiliki izin data.
Verifikasi izin pada sumber daya data, seperti basis data, tabel, kolom, fungsi, dan katalog data, hanya berlaku setelah Anda mengaktifkan saklar kontrol izin katalog data. Verifikasi izin data granular dilakukan pada izin untuk mengelola peran, pengguna, dan izin, terlepas dari apakah saklar kontrol izin katalog data diaktifkan.
Untuk memudahkan administrator mengelola izin data, DLF menyediakan dua jenis administrator data bawaan. Anda dapat menemukan dua peran ini dengan memilih Izin Data > Peran dan menambahkan pengguna tertentu ke peran tersebut:
admin (administrator danau data): Memiliki semua izin data dan izin otorisasi di DLF.
super_administrator (super administrator): Memiliki semua izin data dan izin otorisasi di DLF dan dapat memodifikasi pengguna admin.
Untuk informasi lebih lanjut tentang pengaturan izin yang lebih rinci, lihat Ikhtisar.
Lapisan 2: Izin data kasar DLF-DSS untuk pengguna RAM
Lapisan ini mengontrol izin untuk mengakses dan menggunakan sumber daya internal DLF, termasuk basis data, tabel, kolom, fungsi, dan katalog data. Ini juga mengatur izin untuk mengelola peran, pengguna, dan izin. Dua kebijakan otorisasi bawaan berikut tersedia di Konsol RAM:
AliyunDLFDSSFullAccess: Menunjukkan izin untuk mengakses semua sumber daya granular DLF.
AliyunDLFDSSReadOnlyAccess: Menunjukkan izin hanya-baca pada semua sumber daya granular DLF, seperti List, Get, Select, dan Execute.
Saat ini, izin data kasar DLF-DSS untuk pengguna RAM tidak berlaku untuk banyak skenario. Izin ini terutama digunakan untuk dengan cepat membangun kepercayaan bersama antara layanan Alibaba Cloud. Kami merekomendasikan Anda menggunakan izin data granular DLF untuk manajemen izin data yang lebih rinci.
Verifikasi izin pada sumber daya data, seperti basis data, tabel, kolom, fungsi, dan katalog data, hanya berlaku setelah Anda mengaktifkan saklar kontrol izin katalog data. Verifikasi izin data kasar DLF-DSS dilakukan pada izin untuk mengelola peran, pengguna, dan izin, terlepas dari apakah saklar kontrol izin katalog data diaktifkan.
Jika pengguna RAM diberi AdministratorAccess, pengguna RAM tersebut memiliki semua izin DLF-DSS, yang setara dengan AliyunDLFDSSFullAccess.
Skenario umum
Pengguna RAM memerlukan izin seperti kueri metadata dan tidak perlu melakukan manajemen izin data.
Berikan pengguna RAM izin pada operasi API di lapisan satu, dan berikan kebijakan otorisasi bawaan AliyunDLFFullAccess atau AliyunDLFReadOnlyAccess sesuai kebutuhan.
Pengguna RAM perlu mengelola izin data DLF dan melakukan otorisasi data granular.
Langkah 1: Berikan pengguna RAM izin pada operasi API di lapisan satu, dan berikan kebijakan otorisasi bawaan AliyunDLFFullAccess atau AliyunDLFReadOnlyAccess sesuai kebutuhan.
Langkah 2: Aktifkan saklar kontrol izin untuk katalog data yang diinginkan. Untuk informasi lebih lanjut, lihat Konfigurasi izin.
Langkah 3 (Opsional): Jika Anda menggunakan layanan seperti E-MapReduce (EMR) untuk mengkueri dan memodifikasi data, aktifkan saklar izin DLF-Auth di kluster EMR.
Langkah 4: Berikan pengguna RAM izin data yang diperlukan dengan cara berikut:
Berikan izin admin atau super_administrator kepada pengguna RAM menggunakan akun Alibaba Cloud Anda. Kemudian, pengguna RAM tersebut memiliki semua izin data dan izin manajemen otorisasi dan dapat melakukan manajemen otorisasi. Untuk informasi lebih lanjut, lihat Manajemen peran.
Berikan semua izin pada basis data kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Tambah izin.
Berikan izin pada tabel atau kolom kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Tambah izin.
FAQ tentang izin
Pertanyaan 1: Pesan kesalahan muncul selama akses ke halaman, menunjukkan bahwa pengguna RAM tidak memiliki izin untuk memanggil operasi API DLF.
Gejala: Halaman memberi tahu bahwa pengguna RAM perlu diberi izin dlf:xxx pada operasi API DLF. DLF memiliki izin bawaan AliyunDLFFullAccess dan AliyunDLFReadOnlyAccess di Konsol RAM. Anda dapat memberikan izin ini kepada pengguna RAM berdasarkan kebutuhan bisnis.
Pertanyaan 2: Sistem memberi tahu tidak ada izin sumber daya selama proses otorisasi.
Gejala: Saat pengguna RAM memberikan izin, sistem memberi tahu bahwa pengguna tidak memiliki izin DLF.
Berikan izin otorisasi pada sumber daya yang sesuai kepada pengguna. Anda juga dapat memberikan peran yang sesuai kepada pengguna. Untuk informasi lebih lanjut, lihat Tambah izin.
Berikan pengguna peran admin atau super_administrator DLF. Untuk informasi lebih lanjut, lihat Manajemen peran.
Berikan pengguna izin DLF-DSS. Contoh:
dlf-dss:BatchGrantPermissions + dlf-dss:SelectTable menunjukkan bahwa pengguna dapat memberikan izin Select pada semua tabel kepada pengguna lain.
Pertanyaan 3: Pengguna RAM tidak memiliki izin untuk memanggil operasi API terkait izin, seperti listPermissions dan listRoles.
Gejala: Kesalahan terjadi saat pengguna RAM memanggil operasi API terkait izin. Misalnya, saat pengguna RAM melakukan kueri izin atau manajemen peran, sistem memberi tahu bahwa pengguna tidak memiliki izin operasi yang sesuai. Kode kesalahan adalah NoPermission. Anda dapat menyelesaikan masalah ini dengan cara berikut:
Berikan pengguna peran admin atau super_administrator DLF. Untuk informasi lebih lanjut, lihat Manajemen peran.
Berikan pengguna izin DLF-DSS. DLF memiliki izin bawaan AliyunDLFDSSFullAccess dan AliyunDLFDSSReadOnlyAccess di Konsol RAM. Contoh:
dlf-dss:ListRoles menunjukkan bahwa pengguna dapat melihat semua peran di DLF.
dlf-dss:ListPermissions menunjukkan bahwa pengguna dapat melihat semua izin yang telah diberikan di DLF.