身份憑證用於將阿里雲RAM使用者/RAM角色映射到資料來源的訪問帳號。管理員配置身份憑證後,使用者即可在DataWorks中申請StarRocks、Hive、Lindorm的資料存取權限,並由Ranger完成許可權管控。
功能概述
當使用者通過DataWorks訪問StarRocks、Hive或Lindorm等資料來源時,資料引擎不直接支援阿里雲RAM使用者/RAM角色認證,需要使用資料來源自身的帳號(如使用者名稱/密碼)。身份憑證功能提供統一的帳號映射管理,將RAM使用者/RAM角色與資料來源訪問帳號進行關聯,避免身份憑證泄露、惡意篡改和越權使用的風險。
身份憑證在整個Ranger許可權管控流程中的位置如下:
新增Ranger配置:在資訊安全中心配置Ranger執行個體的串連資訊。詳情請參見新增Ranger配置。
新增Service關聯:為Ranger執行個體添加StarRocks、Hive或Lindorm類型的Service。詳情請參見新增Service。
配置身份憑證:為RAM使用者/角色配置訪問資料來源的帳號映射。
申請許可權:使用者在中提交許可權申請,安全性系統管理員審批後自動在Ranger中產生Policy。
適用範圍
已完成Ranger配置和Service關聯。詳情請參見新增Ranger配置。
操作者必須是租户管理员的身份,才可以進入身份憑證的頁面進行配置。
進入身份憑證頁面
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在右側頁面中單擊進入資訊安全中心。
單擊左側導覽列的身份凭证,進入身份憑證頁面。
新增身份憑證
在身份凭证頁面,單擊左上方的新增按鈕,進入新建访问身份彈窗內進行配置,配置詳情如下:
參數 | 描述 |
阿里云RAM用户/角色 | 選擇要關聯身份憑證的RAM使用者或RAM角色。該RAM使用者/角色將通過此身份憑證中配置的帳號訪問資料來源。 |
数据源类型 | 選擇訪問資源所屬的資料來源類型。已支援:StarRocks、Hive、Lindorm。 說明 所選的資料來源類型需要與已配置的Ranger Service類型匹配。例如,若需要申請Lindorm許可權,則需在Ranger中配置Lindorm類型的Service。 |
集群/实例 | 根據所選的資料來源類型,選擇對應的叢集或執行個體:
重要 擁有 |
賬號類型 | 選擇帳號類型,帳號類型決定了該使用者是否具有審批許可權:
|
账号名称 | 阿里雲RAM使用者/角色訪問資料來源時使用的帳號名稱。 重要 此處填寫的帳號名稱需要與Ranger中配置的使用者名稱保持一致,否則Ranger無法正確匹配權限原則。 |
账号密码 | 阿里雲RAM使用者/角色訪問資料來源時使用的密碼。 |
後續操作
身份憑證配置完成後,使用者即可在,選擇需要訪問的庫/表,提交許可權申請。詳情請參見資料存取控制。