全部產品
Search
文件中心

DataWorks:身份憑證

更新時間:Apr 02, 2026

身份憑證用於將阿里雲RAM使用者/RAM角色映射到資料來源的訪問帳號。管理員配置身份憑證後,使用者即可在DataWorks中申請StarRocksHiveLindorm的資料存取權限,並由Ranger完成許可權管控。

功能概述

當使用者通過DataWorks訪問StarRocks、Hive或Lindorm等資料來源時,資料引擎不直接支援阿里雲RAM使用者/RAM角色認證,需要使用資料來源自身的帳號(如使用者名稱/密碼)。身份憑證功能提供統一的帳號映射管理,將RAM使用者/RAM角色與資料來源訪問帳號進行關聯,避免身份憑證泄露、惡意篡改和越權使用的風險。

身份憑證在整個Ranger許可權管控流程中的位置如下:

  1. 新增Ranger配置:在資訊安全中心配置Ranger執行個體的串連資訊。詳情請參見新增Ranger配置

  2. 新增Service關聯:為Ranger執行個體添加StarRocks、Hive或Lindorm類型的Service。詳情請參見新增Service

  3. 配置身份憑證:為RAM使用者/角色配置訪問資料來源的帳號映射。

  4. 申請許可權:使用者在數據訪問控制 > 權限申請中提交許可權申請,安全性系統管理員審批後自動在Ranger中產生Policy

適用範圍

  • 已完成Ranger配置和Service關聯。詳情請參見新增Ranger配置

  • 操作者必須是租户管理员的身份,才可以進入身份憑證的頁面進行配置。

進入身份憑證頁面

  1. 登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的數據治理 > 資訊安全中心,在右側頁面中單擊進入資訊安全中心

  2. 單擊左側導覽列的身份凭证,進入身份憑證頁面。

新增身份憑證

身份凭证頁面,單擊左上方的新增按鈕,進入新建访问身份彈窗內進行配置,配置詳情如下:

參數

描述

阿里云RAM用户/角色

選擇要關聯身份憑證的RAM使用者RAM角色。該RAM使用者/角色將通過此身份憑證中配置的帳號訪問資料來源。

数据源类型

選擇訪問資源所屬的資料來源類型。已支援:StarRocksHiveLindorm

說明

所選的資料來源類型需要與已配置的Ranger Service類型匹配。例如,若需要申請Lindorm許可權,則需在Ranger中配置Lindorm類型的Service。

集群/实例

根據所選的資料來源類型,選擇對應的叢集或執行個體:

  • 資料來源類型為StarRocksHive時,請選擇對應的EMR叢集。

  • 資料來源類型為Lindorm時,請選擇對應的Lindorm執行個體。

重要

擁有AliyunEMRReadOnlyAccess或者AliyunLindormReadOnlyAccess許可權,以擷取對應集群/实例的列表。

賬號類型

選擇帳號類型,帳號類型決定了該使用者是否具有審批許可權:

  • 管理员:擁有審批許可權,可以同意/拒絕其他使用者提交的資料許可權申請。

  • 普通用户:僅可提交許可權申請,不可審批。

    重要

    至少需要配置一個管理員角色,才能保證存取控制的審批。

账号名称

阿里雲RAM使用者/角色訪問資料來源時使用的帳號名稱。

重要

此處填寫的帳號名稱需要與Ranger中配置的使用者名稱保持一致,否則Ranger無法正確匹配權限原則。

账号密码

阿里雲RAM使用者/角色訪問資料來源時使用的密碼。

後續操作

身份憑證配置完成後,使用者即可在數據訪問控制 > 權限申請,選擇需要訪問的庫/表,提交許可權申請。詳情請參見資料存取控制