阿里云的访问控制RAM(Resource Access Management)服务授权子用户管理HBase实例。
描述
您通过云账号创建的HBase实例,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。通过使用阿里云的什么是访问控制RAM(Resource Access Management)服务,您可以将您云账号下HBase资源的访问及管理权限授予RAM中的子用户。目前,可以在RAM中进行授权的资源类型只有dbinstance,即最细粒度为实例级别。在通过RAM进行授权时,资源的描述方式如下:
请求参数
| 资源类型 | 授权策略中的资源描述方式 |
|---|---|
| dbinstance | acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid
acs:hbase:$regionid:$accountid:dbinstance/ acs:hbase:::dbinstance/ |
参数说明如下:
| 参数名称 | 说明 |
|---|---|
| $regionid | 地域的ID,可以用*代替。
|
| $dbinstanceid | 实例的名称,可以用*代替。
|
| $accountid | 云账号的数字ID,可以用*代替。
|
示例
授权用户可以查看所有实例,但是仅能创建和扩容某个实例的存储,到期时间为2020年8月17日。
{
"Statement": [
{
"Action": [
"hbase:CreateCluster",
"hbase:ResizeDiskSize"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:*:*:*/hb-xxxxxxxx"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
},
{
"Action": [
"hbase:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:*:*:*/*"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
}
],
"Version": "1"
}说明 更详细的权限设置请参见权限策略语法和结构。
HBase API的鉴权规则
当子用户通过API访问HBase时,HBase后台会向RAM进行权限检查,以确保调用者拥有相应权限。每个API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。