本文主要介紹資料湖構建(DLF)的許可權體系,重點闡述如何為RAM使用者(子帳號)授予適當許可權,以確保其能夠正確使用和訪問DLF的各項功能。
資料湖構建(DLF)的許可權體系分為API許可權與DLF資料許可權兩類。如果您要訪問DLF的頁面或資料,通常都需要通過這兩層許可權校正,才可以正確地訪問到資料資源。
API許可權:主要控制對DLF所有API的存取權限。此許可權設計決定了RAM使用者是否可以訪問某些DLF API或頁面。
DLF資料許可權:深入資料湖內部,該許可權體系細化至具體的資料資源使用與存取權限管理。涵蓋範圍廣泛,包括但不限於資料庫、資料表以及資料目錄的存取權限,同時涉及資料操作許可權的調控。這一層次確保了即使在RAM許可權允許的大前提下,使用者對具體資料資源的操作仍需遵循更為細緻的授權規則,實現資料層級的精密保護。
許可權校正流程圖
許可權校正說明
第一層:RAM API許可權
此層級集中管理對DLF所有API存取權限的控制,確保RAM使用者僅能訪問其被授權的功能或頁面。在RAM控制台預設了兩種授權策略,以適應不同的訪問需求。
策略名稱稱 | 說明 |
AliyunDLFFullAccess | 具備所有DLF API的調用許可權,適合需要進行全面資料湖管理的使用者。 |
AliyunDLFReadOnlyAccess | 旨在提供唯讀許可權,表示具備所有DLF唯讀API(例如,List、Get操作)的調用許可權。該策略禁止執行任何寫入或刪除操作(Create、Delete等)。 |
第二層:DLF細粒度資料許可權
此層級主要控制DLF內資源的訪問和使用許可權,包括資料目錄、資料庫和資料表,以及角色、使用者和新增授權等操作許可權。
為了方便管理員整體進行資料許可權管理,DLF提供了內建的資料許可權管理員角色,您可以在頁面看到這兩個角色,並將某些使用者添加到該角色下。更加細粒度的許可權配置,請參見使用者和角色管理。
角色名稱 | 角色描述 | 角色說明 |
admin | 資料湖管理員 | 擁有資料湖構建中,所有的資料許可權及授權許可權,以及添加自建角色、建立Catalog。 |
super_administrator | 超級管理員 | 擁有資料湖構建中,所有admin角色的許可權,並可以修改admin角色的使用者。 說明
|