在使用Hologres之前,必须拥有相关的权限才能使用Hologres进行开发。本文为您介绍Hologres相关的权限策略,方便您根据使用场景对不同用户授权,精细化管理用户权限。

Hologres用户鉴权流程

Hologres用户在使用过程中会根据使用场景的不同进行相关权限的鉴权。例如,当用户需要购买实例,则需要进行RAM鉴权,判断该用户是否具有Hologres管理控制台的购买操作权限,否则需要授权才可以进行购买操作。

一个用户从进入阿里云到使用Hologres的完整鉴权流程如下图所示。Hologres用户鉴权流程
  • 管理Hologres实例:当您需要在Hologres管理控制台进行实例的购买、管理、升降配、续费和停机等操作时,阿里云会对您的账号进行RAM鉴权,是否具备相关权限,否则不能进行操作。RAM鉴权说明请参见RAM鉴权
  • 连接Hologres进行开发:当您连接Hologres进行相关操作时,会进行Hologres鉴权,您需要具备相关权限才能正常执行操作。Hologres鉴权说明请参见Hologres鉴权
  • 使用DataWorks:如果您需要使用DataWorks进行Hologres开发时,除了Hologres鉴权外也会需要进行DataWorks的操作鉴权确保您具有操作权限。DataWorks鉴权说明请参见DataWorks鉴权
  • 使用MaxCompute:您需要使用Hologres加速查询MaxCompute的表数据,还需要当前Hologres的账号具有访问对应MaxCompute的项目以及表的权限。MaxCompute鉴权说明请参见MaxCompute鉴权

RAM鉴权

访问控制RAM(Resource Access Management)是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限,您可以通过RAM授权为不同的子账号分配不同的权限,包括实例购买、删除、升配、降配、修改网络类型、查看实例信息等权限,从而达到实例管理的目的。

如果不授予子账号RAM权限,子账号无法在Hologres管理控制台台查看实例详情,但不会影响子账号对Hologres的连接访问。关于RAM的授权流程请参见授予RAM用户权限

Hologres鉴权

Hologres实时数仓兼容PostgreSQL 11,在使用Hologres实例进行开发之前,会经过如下几个层级的鉴权:
  1. 账号鉴权
    • 您可以使用阿里云账号(包括阿里云账号和RAM用户)登录Hologres管理控制台。
    • 当您使用psql或者JDBC等工具连接Hologres实例时,需要用到AccessKey ID及AccessKey Secret分别对应用户名和用户密码。
    更多关于账号的详细描述,请参见账号概述
  2. 用户鉴权

    账号鉴权成功后,当用户使用账号连接Hologres时,系统将会判断当前账号是否为Hologres用户。只有管理员执行了create user "xxx"命令,用户才会被创建进实例中。关于用户的描述以及创建用户,请参见用户概念

  3. 实例鉴权

    用户被创建进实例后,还需要被授予相关的操作权限,才能在权限范围内进行操作。对用户的授权操作,请参见Hologres权限模型概述

DataWorks鉴权

Hologres与DataWorks深度集成,使用DataWorks进行Hologres开发时,其权限管理内容也有部分兼容。在使用过程中请您按照如下几点说明检查您的授权情况:
  • 进入DataWorks需要具备项目的访问权限。
  • 使用HoloStudio开发时需要具备Hologres实例的相关权限。
  • 涉及到DataWorks的其他操作,例如数据集成、数据服务等,除了Hologres的鉴权之外,还需要进行DataWorks的操作鉴权,关于DataWorks的权限,请参见附录:预设角色权限列表(空间级)
DataWorks鉴权流程如下图所示:DataWorks鉴权流程

MaxCompute鉴权

当使用Hologres加速查询MaxCompute表数据时,需要当前Hologres的账号有访问对应MaxCompute的项目以及表的访问权限。当某个用户想要在Hologres中加速查询MaxCompute时,其鉴权流程如下:MaxCompute鉴权流程MaxCompute权限相关常见问题请参见MaxCompute权限相关