本トピックでは、Data Lake Formation (DLF) の REST API と管理 API に対する Resource Access Management (RAM) の権限アクションを一覧で示します。この情報を利用することで、きめ細かなポリシーを作成し、最小権限の原則に基づいて権限を管理し、セキュリティと柔軟性を確保できます。
概念
REST API:Paimon および Iceberg の REST API に基づくデータプレーン API です。これらの API は、効率的なデータアクセスと操作に使用されます。
管理 API:Alibaba Cloud OpenAPI に基づく管理プレーン API です。これらの API は、効率的なリソース管理と O&M 操作に使用されます。
説明DLF コンソールでカタログ、データベース、テーブルを管理するには、適切な管理 API 権限が必要です。コンソールにアクセスする必要がない場合は、これらの権限を付与しないでください。DLF コンソールで実行する必要がある特定の操作に対してのみ、アクション権限を付与してください。
権限ポリシー
権限ポリシーを RAM ユーザーまたは RAM ロールにアタッチして、特定のアクセス権限を付与できます。
ポリシー名 | 説明 |
AliyunDLFFullAccess | すべての DLF API を呼び出す権限を付与します。このポリシーは、包括的なデータレイク管理を実行する必要があるユーザーに適しています。 |
AliyunDLFReadOnlyAccess | List や Get 操作など、すべての読み取り専用 DLF API を呼び出すための読み取り専用権限を付与します。このポリシーは、Create や Delete などの書き込みまたは削除操作を禁止します。 |
操作手順
RAM 管理者として Resource Access Management (RAM) コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[ユーザー] ページで、対象の RAM ユーザーの [アクション] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、RAM ユーザーに権限を追加します。
[新規承認の確認] をクリックします。
RAM 権限付与ポリシーの例
カスタム権限ポリシーを作成して、きめ細かな権限管理を行うことができます。詳細については、「カスタム権限ポリシーの作成」をご参照ください。
{
"Version": "1",
"Statement": [
{
"Action": [
"dlf:ListDatabases",
"dlf:CreateDatabase",
"dlf:GetDatabase",
"dlf:AlterDatabase",
"dlf:ListTables",
"dlf:CreateTable",
"dlf:GetTable",
"dlf:AlterTable",
"dlf:ListPartitions",
"dlf:ListViews"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
REST API のアクション
Paimon REST
カテゴリ | REST API | RAM 権限付与アクション | 説明 |
Config | GetConfig | dlf:GetConfig | データカタログの構成を取得します。 |
Database | ListDatabases | dlf:ListDatabases | データベースを一覧表示します。 |
CreateDatabase | dlf:CreateDatabase | データベースを作成します。 | |
GetDatabase | dlf:GetDatabase | データベースを取得します。 | |
DropDatabase | dlf:DropDatabase | データベースを削除します。 | |
AlterDatabase | dlf:AlterDatabase | データベースを変更します。 | |
Table | ListTables | dlf:ListTables | テーブルを一覧表示します。 |
CreateTable | dlf:CreateTable | テーブルを作成します。 | |
ListTableDetails | dlf:ListTableDetails | テーブルの詳細を一覧表示します。 | |
GetTable | dlf:GetTable | テーブルを取得します。 | |
AlterTable | dlf:AlterTable | テーブルを変更します。 | |
DropTable | dlf:DropTable | テーブルを削除します。 | |
RenameTable | dlf:RenameTable | テーブルの名前を変更します。 | |
CommitTable | dlf:CommitTable | テーブルの変更をコミットします。 | |
RollbackTable | dlf:RollbackTable | テーブルをロールバックします。 | |
GetTableToken | dlf:GetTableToken | テーブルデータにアクセスするためのトークンを取得します。 | |
GetTableSnapshot | dlf:GetTableSnapshot | テーブルのスナップショットを取得します。 | |
Partition | ListPartitions | dlf:ListPartitions | パーティションを一覧表示します。 |
MarkDonePartitions | dlf:MarkDonePartitions | パーティションを完了としてマークします。 | |
Branch | ListBranches | dlf:ListBranches | テーブルのブランチを一覧表示します。 |
CreateBranch | dlf:CreateBranch | テーブルのブランチを作成します。 | |
DropBranch | dlf:DropBranch | テーブルのブランチを削除します。 | |
ForwardBranch | dlf:ForwardBranch | テーブルのブランチをフォワードします。 | |
View | ListViews | dlf:ListViews | ビューを一覧表示します。 |
CreateView | dlf:CreateView | ビューを作成します。 | |
GetView | dlf:GetView | ビューを取得します。 | |
AlterView | dlf:AlterView | ビューを変更します。 | |
DropView | dlf:DropView | ビューを削除します。 | |
RenameView | dlf:RenameView | ビューの名前を変更します。 | |
Function | ListFunctions | dlf:ListFunctions | 関数リストをクエリします |
CreateFunction | dlf:CreateFunction | 関数を作成します。 | |
GetFunction | dlf:GetFunction | 関数を取得します。 | |
AlterFunction | dlf:AlterFunction | 関数を変更します。 | |
DropFunction | dlf:DropFunction | 関数を削除します。 |
Iceberg REST
カテゴリ | REST API | RAM 権限付与 | 説明 |
Config | GetConfig | dlf:GetConfig | データカタログの構成を取得します。 |
Namespace | ListNamespaces | dlf:ListDatabases | 名前空間を一覧表示します。 |
CreateNamespace | dlf:CreateDatabase | 名前空間を作成します。 | |
LoadNamespaceMetadata | dlf:GetDatabase | 名前空間を取得します。 | |
NamespaceExists | dlf:GetDatabase | 名前空間が存在するかどうかを確認します。 | |
UpdateProperties | dlf:AlterDatabase | 名前空間のプロパティを更新します。 | |
DropNamespace | dlf:DropDatabase | 名前空間を削除します。 | |
Table | ListTables | dlf:ListTables | テーブルを一覧表示します。 |
CreateTable | dlf:CreateTable | テーブルを作成します。 | |
LoadTable | dlf:GetTable | テーブルを取得します。 | |
TableExists | dlf:GetTable | テーブルが存在するかどうかを確認します。 | |
UpdateTable | dlf:AlterTable | テーブルを更新します。 | |
DropTable | dlf:DropTable | テーブルを削除します。 |
管理 API のアクション
カテゴリ | 管理 API | RAM:権限付与アクション | 説明 |
有効化 | DescribeRegions | dlf:DescribeRegions | DLF サービスのドメインリストを取得します。 |
GetRegionStatus | dlf:GetRegionStatus | 有効化ステータスを取得します。 | |
Subscribe | dlf:Subscribe | DLF を有効化します。 | |
CreateInstance | dlf:CreateInstance | 計算リソースを購入します。 | |
ユーザーとロールの管理 | GetUser | dlf:GetUser | ユーザーを取得できます。 |
ListUsers | dlf:ListUsers | ユーザーリストをクエリします。 | |
CreateRole | dlf:CreateRole | ロールを作成します。 | |
UpdateRole | dlf:UpdateRole | ロールを更新します。 | |
DeleteRole | dlf:DeleteRole | ロールを削除します。 | |
GetRole | dlf:GetRole | ロールを取得します。 | |
ListRoles | dlf:ListRoles | ロールのリストをクエリします。 | |
GrantRoleToUsers | dlf:GrantRoleToUsers | 指定したロールを複数のユーザーに一括で付与します。 | |
RevokeRoleFromUsers | dlf:RevokeRoleFromUsers | 指定したロールを複数のユーザーから一括で取り消します。 | |
UpdateRoleUsers | dlf:UpdateRoleUsers | ロール内のユーザーを変更します。 | |
ListRoleUsers | dlf:ListRoleUsers | DLF ロールに関連付けられているユーザーを一覧表示します。 | |
ListUserRoles | dlf:ListUserRoles | ユーザーロールのリストをクエリします。 | |
RefreshUserSync | dlf:RefreshUserSync | ユーザー同期を開始します。 | |
データカタログ | CreateCatalog | dlf:CreateCatalog | データカタログを作成します。 |
GetCatalog | dlf:GetCatalog | データカタログを取得します。 | |
DropCatalog | dlf:DropCatalog | データカタログを削除します。 | |
AlterCatalog | dlf:AlterCatalog | データカタログを更新します。 | |
ListCatalogs | dlf:ListCatalogs | データカタログを一覧表示します。 | |
GetCatalogById | dlf:GetCatalogById | カタログ ID でデータカタログを取得します。 | |
Database | AlterDatabase | dlf:AlterDatabase | データベースを更新します。 |
GetDatabase | dlf:GetDatabase | データベースを取得します。 | |
DropDatabase | dlf:DropDatabase | データベースを削除します。 | |
CreateDatabase | dlf:CreateDatabase | データベースを作成します。 | |
ListDatabaseDetails | dlf:ListDatabaseDetails | データベースの詳細を一覧表示します。 | |
ListDatabases | dlf:ListDatabases | データベースを一覧表示します。 | |
Table | CreateTable | dlf:CreateTable | テーブルを作成します。 |
DropTable | dlf:DropTable | テーブルを削除します。 | |
ListTableDetails | dlf:ListTableDetails | テーブルの詳細を一覧表示します。 | |
GetTable | dlf:GetTable | テーブルを取得します。 | |
ListTables | dlf:ListTables | テーブルを一覧表示します。 | |
View | ListViews | dlf:ListViews | ビューをクエリします |
ListViewDetails | dlf:ListViewDetails | ビューの詳細を一覧表示します。 | |
CreateView | dlf:CreateView | ビューを作成します。 | |
GetView | dlf:GetView | ビューを取得します。 | |
AlterView | dlf:AlterView | ビューを変更します。 | |
DropView | dlf:DropView | ビューを削除します。 | |
Function | ListFunctions | dlf:ListFunctions | 関数を一覧表示します。 |
ListFunctionDetails | dlf:ListFunctionDetails | 関数の詳細を一覧表示します。 | |
CreateFunction | dlf:CreateFunction | 関数を作成します。 | |
GetFunction | dlf:GetFunction | 関数を取得します。 | |
AlterFunction | dlf:AlterFunction | 関数を変更します。 | |
DropFunction | dlf:DropFunction | 関数を削除します。 | |
権限管理 | GrantPermission | dlf:GrantPermission | リソースに対する権限を付与します。 |
RevokePermission | dlf:RevokePermission | リソースに対する権限を取り消します。 | |
BatchGrantPermissions | dlf:BatchGrantPermissions | 権限をバッチで付与します。 | |
BatchRevokePermissions | dlf:BatchRevokePermissions | 権限をバッチで取り消します。 | |
ListPermissions | dlf:ListPermissions | 指定されたリソースの権限を一覧表示します。 | |
Iceberg テーブル | GetIcebergTable | dlf:GetIcebergTable | Iceberg テーブルを取得します。 |
ListIcebergSnapshots | dlf:ListIcebergSnapshots | Iceberg テーブルのスナップショットを一覧表示します。 |