在DataWorks資訊安全中心配置Ranger資訊,實現對StarRocks、Hive、Lindorm資料來源的許可權申請與審批。配置完成後,使用者可在DataWorks中申請庫/表的存取權限,安全性系統管理員審批後將在Ranger中自動產生對應的Policy。
功能概述
Ranger支援安全性系統管理員採用主動授權的方式管理StarRocks、Hive、Lindorm使用者訪問庫/表的許可權。通過在DataWorks資訊安全中心中配置Ranger資訊並關聯Service,使用者即可在DataWorks中提交許可權申請,安全性系統管理員審批後在Ranger中產生相應的Policy,從而實現資料存取控制。
完整的Ranger許可權管控流程如下:
-
新增Ranger配置:在資訊安全中心配置Ranger執行個體的串連資訊。
-
新增Service關聯:為Ranger執行個體添加StarRocks、Hive或Lindorm類型的Service。
-
配置身份憑證:為RAM使用者/角色配置訪問資料來源的帳號映射。詳情請參見身份憑證。
-
申請許可權:使用者在中提交許可權申請,安全性系統管理員審批後自動在Ranger中產生Policy。
說明只有關聯Ranger Service後,頁面才會出現對應的資料來源類型。
適用範圍
-
操作者必須是租户管理员或租戶安全性系統管理員的身份,才可以進入管理Ranger頁面進行配置。
-
EMR/Lindorm叢集和DataWorks的資源群組必須在同一個VPC中。
-
EMR/Lindorm叢集必須歸屬到DataWorks的工作空間中,且已完成資源群組的初始化。詳情請參見:舊版資料開發:綁定EMR計算資源。
-
DataWorks的資源群組僅支援:Serverless資源群組,詳情請參見:使用Serverless資源群組。
進入管理Ranger頁面
-
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在右側頁面中單擊進入資訊安全中心。
-
單擊左側導覽列的管理Ranger,進入管理Ranger頁面。
步驟一:新增Ranger
在管理Ranger頁面,單擊新增按鈕,添加Ranger配置資訊。配置詳情如下:
|
參數 |
描述 |
|
集群类型 |
選擇叢集類型。可選值:EMR或Lindorm。
|
|
EMR集群ID / Lindorm实例ID |
根據所選的叢集類型,選擇對應的叢集或執行個體。
說明
當前帳號必須具備 |
|
资源组 |
指定DataWorks訪問Ranger服務時使用的資源群組。 說明
僅支援使用Serverless資源群組。 |
|
RangerAdmin地址 |
Ranger管理服務的URL地址。DataWorks會通過該地址與Ranger通訊以配置policy。 說明
請使用RangerAdmin的VPC內網訪問地址。 |
|
Ranger管理员账号 |
Ranger管理服務的管理員帳號。 |
|
Ranger管理员密码 |
Ranger管理員帳號對應的密碼。 |
|
可用性验证 |
單擊可用性驗證進行連通性測試。驗證必須通過後才能儲存配置。 |
配置完成後,單擊確定儲存Ranger配置。
步驟二:新增Service
新增Ranger後,您需要繼續配置Service。只有關聯了Ranger Service後,使用者才能在頁面選擇對應的資料來源類型。
-
在管理Ranger頁面,找到需要配置的Ranger服務,單擊操作列的管理Service按鈕,進入管理Service頁面。
-
單擊新增关联按鈕,根據資料來源類型選擇對應的Service配置。
新增StarRocks類型的Service
適用於通過Ranger管理StarRocks執行個體的庫/表許可權。
參數
描述
Ranger Service Type
選擇
StarRocks。說明StarRocks執行個體中存在外部catalog時,需要先關聯內部catalog,之後再關聯外部catalog。
Ranger Service Name
輸入在Ranger中配置的Service name,可自訂。
关联StarRocks实例ID
選擇Ranger Service Name對應的StarRocks執行個體。
說明擁有
AliyunEMRReadOnlyAccess許可權,才能擷取EMR叢集的列表。Catalog
選擇StarRocks執行個體中的Catalog。添加後,使用者才能申請該Catalog中庫/表的許可權。
新增Hive類型的Service
適用於通過Ranger管理EMR叢集中Hive的庫/表許可權。
參數
描述
Ranger Service Type
選擇
Hive。Ranger Service Name
輸入在Ranger中配置的Service name,可自訂。預設為
emr-hive。EMR集群ID
選擇Ranger Service Name對應的EMR叢集。
說明擁有
AliyunEMRReadOnlyAccess許可權,才能擷取EMR叢集的列表。新增Lindorm類型的Service
適用於通過Ranger管理Lindorm寬表引擎的表層級許可權。
參數
描述
Ranger Service Type
選擇
Lindorm。Ranger Service Name
輸入在Ranger中配置的Service name,可自訂。
Lindorm实例
選擇Ranger Service Name對應的Lindorm執行個體。
說明擁有
AliyunLindormReadOnlyAccess許可權,才能擷取Lindorm執行個體列表。 -
配置完成後,單擊確定即可完成Service配置。
後續操作
完成Ranger和Service配置後,還需要為RAM使用者/角色配置身份憑證,將雲帳號映射到資料來源的訪問帳號。詳情請參見身份憑證。