本文介绍通过云数据库HBase的集群管理系统来管理用户的ACL权限。
权限层级
目前对HBase增强版集群的操作有三个权限层级,Global、Namespace和Table,这三者是兼容的关系。
例如:如果给user1用户赋予了Global的读写权限,那么user1用户就拥有了所有Namespace下所有Table的读写权限。如果给user2赋予了Namespace1的读写权限,那么它会自动拥有Namespace1中所有Table的读写权限(包括在Namespace1中新建的Table)。
说明 只有拥有Global层级的ADMIN权限的用户,才能够Create和Delete Namespace。
权限分类
操作权限分类和操作语法说明如下表。
| 分类 | 描述 | 操作语法 |
|---|---|---|
| WRITE | 写入Lindorm表相关的操作。 | PUT、BATCH、DELETE、INCREMENT、APPEND、CHECKANDMUTATE |
| READ | 读取Lindorm表相关的操作。 | GET、SCAN、EXIST |
| 读取Lindorm表descriptor,namespace列表等相关操作。 | GETTABLEDESCRIPTOR、LISTTABLES、LISTNAMESPACEDESCRIPTORS | |
| ADMIN | 不会涉及表删除和表数据删除的DDL操作。 | CREATETABLE、ENABLETABLE、DISABLETABLE |
| Namespace相关DDL操作。 | CREATENAMESPACE | |
| TRASH | 防止表误删和表数据被清空操作。 | TRUNCATETABLE、DELETETABLE |
| SYSTEM | 执行运维操作。使用LTS(原BDS)迁移和同步Lindorm时需要此权限。 | COMPACT、FLUSH |
为指定用户赋予权限
为指定用户赋予全局权限
- 在集群管理系统的左侧导航栏中,选择。
- 在目标用户的操作列中,选择。
- 在全局权限授权对话框的授予权限选项中勾选需要赋予的权限。
- 单击确定。
为指定用户赋予命名空间权限
- 在集群管理系统的左侧导航栏中,选择。
- 在目标用户的操作列中,选择。
- 在namespace授权对话框中,选择namespace并勾选需要赋予的权限。
- 单击确定。
回收权限
回收指定用户的全局权限
- 在集群管理系统的左侧导航栏中,选择。
- 在目标用户的操作列中,选择。
- 在全局权限回收对话框的授予权限选项中勾选需要回收的权限。
- 单击确定。
回收指定用户的命名空间权限
- 在集群管理系统的左侧导航栏中,选择。
- 在目标用户的操作列中,选择。
- 在namespace权限回收对话框中,选择namespace并勾选需要回收的权限。
- 单击确定。