如何为子账号授予合适的权限,以使其可以正确的使用和访问DLF的功能

本文主要介绍数据湖构建（DLF）的权限体系说明，介绍如何为子账号授予合适的权限，以使其可以正确的使用和访问DLF的功能。

数据湖构建（DLF）产品的权限体系主要分为RAM权限以及DLF数据权限控制两大类，如果您要访问DLF的页面或数据，一般都需要通过这两层权限校验，才可以正确的访问到数据资源。

DLF权限校验的示例图：

主要控制DLF所有OpenAPI的访问权限，决定RAM用户是否可以访问某些DLF OpenAPI或页面。在RAM控制台内置了以下两种授权策略：

AliyunDLFFullAccess：表示具备所有DLF OpenAPI的调用权限。
AliyunDLFReadOnlyAccess：表示具备所有DLF只读OpenAPI（例如List/Get类的API）的调用权限。但不具备如Create/Delete等OpenAPI调用权限。

您也可以根据自己的权限控制需求，自定义RAM授权策略，满足更细粒度的OpenAPI层面的权限控制。

主要控制DLF内部资源的访问和使用权限，包括数据库，数据表，数据列，函数，数据目录等。以及角色/用户/新增授权等操作权限。

说明

在第二层主要进行数据权限控制，分为细粒度和粗粒度两类，“DLF细粒度数据权限”与“RAM DLF-DSS粗粒度数据权限”两者之间是或者的关系，只要两者之间有一个通过数据权限校验，那么该用户就具备该数据权限。反之，必须两者都不通过数据校验，该用户才不具备该数据权限。
只有在开启Catalog权限设置开关后，针对数据资源类的权限，如数据库，数据表，数据列，函数，数据目录的数据权限校验才会生效。而角色/用户/新增授权等操作权限无论Catalog权限是否开启，都会受到细粒度数据权限校验。

为了方便管理员整体进行数据权限管理，DLF提供了内置的数据权限管理员角色，您可以在“数据权限-角色”菜单下找到这两个角色，并将某些用户加到该角色下：

更加细粒度的权限配置，请参考数据权限概述

主要控制DLF内部资源的访问和使用权限，包括数据库，数据表，数据列，函数，数据目录等。以及角色/用户/新增授权等操作权限。在RAM控制台内置了以下两种授权策略：

说明

“RAM DLF-DSS粗粒度数据权限”目前适用场景不多，主要用于阿里云内部产品间快速互信使用，建议您使用“DLF细粒度数据权限”进行细粒度的数据权限控制。
只有在开启Catalog权限设置开关后，针对数据资源类的权限，如数据库，数据表，数据列，函数，数据目录的数据权限校验才会生效。而角色/用户/新增授权等操作权限无论Catalog权限是否开启，都会受到DLF-DSS粗粒度数据权限校验。
如果子账号被授予RAM AdministratorAccess，则该用户将具备DLF-DSS所有权限，等同于AliyunDLFDSSFullAccess。

仅使用DLF元数据，不需要进行数据权限控制，但期望子账号具备元数据查询等权限。
- 为子账号授予“第一层：RAM OpenAPI 权限”，根据需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess内置授权策略即可。
需要使用DLF数据权限控制，做细粒度的数据授权管理。
- 为子账号授予“第一层：RAM OpenAPI 权限”，根据需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess内置授权策略即可。
- 第二步，先开启Catalog的权限设置
- 第三步（可选），如你使用EMR等产品进行查询和修改数据，则需要在EMR集群同样开启DLF-Auth权限开关
- 第四步，授予子账号相应数据权限，有以下几种常见方式：
  - 授权数据管理员：可将admin/super_administrator等先由主账号授予给RAM用户，让对应的RAM用户进行授权管理，他将具备所有数据权限及授权管理权限。参考角色管理。
  - 授权普通数据库管理员：可将某一个数据库的所有权限点，授权给该用户。参考新增授权。
  - 授权普通表/列访问权限：可将某一个表或列的相应权限点，授权给该用户。参考新增授权。

问题一：访问时提示无RAM DLF API相关权限
- 具体表现为：页面提示需要RAM进行授权dlf:xxx权限，需要在RAM上授予AliyunDLF相关OpenAPI层权限，DLF在RAM上已内置AliyunDLFFullAccess及AliyunDLFReadOnlyAccess权限，用户可参考进行授予。