在Data Integration模組中同步阿里雲部分執行個體(例如RDS、Hive或Kafka等)的資料時,如果在建立資料來源時選擇的資料來源類型為阿里雲執行個體模式,且執行個體所屬雲帳號和同步任務的雲帳號不一致,您需要進行執行個體跨帳號授權的配置,即授權同步任務所屬雲帳號對執行個體有“讀”許可權後,才能正常進行資料同步操作。
背景資訊
在添加資料來源時,您可以選擇添加資料來源類型為阿里雲執行個體模式,如果執行個體所屬的雲帳號與進行DataWorks整合配置的雲帳號不一致,您則需參考下文進行跨帳號授權配置。
前提條件
已配置雲企業網等網路連通方案,完成兩個帳號中資料來源執行個體與DataWorks資源群組的VPC網路互連,更多資訊,請參見網路連通方案。
跨帳號配置流程
當資料來源為RDS、Hive或Kafka等資料來源時,跨帳號授權配置流程如下:
資料來源執行個體所屬雲帳號操作
登入RAM 存取控制-角色控制台,建立一個RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
關鍵參數:
信任主體類型為雲帳號。
角色名稱自訂。
信任主體名稱為其他雲帳號,填寫DataWorks工作空間所屬的雲帳號。
為建立好的RAM角色精確授權。具體操作,請參見在RAM角色頁面為RAM角色精確授權。
關鍵參數:
權限原則:選擇系統策略。
策略名稱稱:可參照下表。
執行個體類型
策略名稱稱
RDS(MySQL、SQL Server、PostgreSQL、MariaDB)
AliyunDataWorksAccessingRdsReadOnlyPolicy
Hive
AliyunDataWorksAccessingDLFReadOnlyPolicy、AliyunDataWorksAccessingEMRReadOnlyPolicy
Kafka
AliyunDataWorksAccessingAlikafkaPolicy
為建立好的RAM角色修改信任策略。具體操作,請參見修改RAM角色的可信實體為阿里雲帳號。
信任策略:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<DataWorks使用者主帳號的雲帳號ID>@cdp.aliyuncs.com" ] } } ], "Version": "1" }說明<DataWorks使用者主帳號的雲帳號ID>需要替換為您的DataWorks工作空間的阿里雲帳號主帳號ID。
DataWorks所屬的雲帳號操作
進入Data Integration頁面。
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在下拉框中選擇對應工作空間後單擊進入Data Integration。
新增RDS、Hive或Kafka資料來源。
關鍵參數:
參數
說明
資料來源類型
阿里雲執行個體模式。
執行個體所屬帳號
選擇其他雲帳號或其他阿里雲主賬戶。
說明請根據資料來源的具體配置進行選擇。
其他雲帳號主帳號ID(對方阿里雲主帳號UID)
配置RDS、Hive或Kafka執行個體所屬的阿里雲帳號主帳號ID。
RAM帳號授權角色名稱(對方RAM角色)
配置已建立的RAM角色。
測試連通性。