新增Ranger配置

背景信息

Ranger支持安全管理员采用主动授权的方式管理StarRocks/Hive用户访问库/表的权限，DataWorks支持用户按需申请库/表的权限。通过在DataWorks中配置Ranger信息，实现用户在DataWorks中申请StarRocks/Hive的库/表权限，安全管理员审批后在Ranger中生成相应的policy。

使用限制

• 只有关联了Ranger Service后，用户才能在 数据访问控制 > 权限申请 页面选择对应的数据源类型。

• 操作者必须是租户管理员或租户安全管理员的身份，才可以进入管理Ranger的页面进行配置。

• 操作者必须拥有AliyunEMRReadOnlyAccess权限，才能获取EMR集群的列表。

  • EMR集群和DataWorks的资源组必须在同一个VPC中。

  • EMR集群必须归属到DataWorks的工作空间中，且已完成资源组的初始化。详情请参见：注册EMR集群至DataWorks。

  • DataWorks的资源组仅支持：Serverless资源组，详情请参见：使用Serverless资源组。

进入管理Ranger页面

1. 登录DataWorks控制台，切换至目标地域后，单击左侧导航栏的数据治理 > 安全中心，在右侧页面中单击进入安全中心。

2. 单击左侧导航栏的管理Ranger，进入管理Ranger页面。

步骤一：新增Ranger

在管理Ranger页面，单击新增Ranger按钮，添加Ranger配置信息，配置详情如下：

步骤二：新增Service

新增Ranger后，需继续配置Service，只有关联了Ranger Service后，用户才能在 数据访问控制 > 权限申请 页面选择对应的数据源类型。

1. 在管理Ranger页面，找到需要配置的Ranger服务，单击表格中的管理Service按钮，进入管理Service页面。

2. 新增Service。

   新增StarRocks类型的Service

   新增Hive类型的Service

   1. 单击新增关联，在新增关联弹窗内进行新增StarRocks类型的Service，以下为配置详情：

      

      参数	描述
      Ranger Service Type	指明在Ranger中添加的Service类型，选择StarRcosks。 说明 StarRocks实例中存在外部catalog时，需要先关联内部catalog，之后再关联外部catalog。
      Ranger Service Name	请输入在Ranger中配置的Service name，可自定义配置。
      关联StarRocks实例ID	Ranger Service Type为StarRocks时，需要指定Ranger Service Name对应的StarRocks实例。
      Catalog	Ranger Service Type为StarRocks时，需要指定Ranger Service Name对应的StarRocks实例中的Catalog。添加后，用户才能申请Catalog中库/表的权限。

      

   1. 单击新增关联，在新增关联弹窗内进行新增Hive类型的Service，以下为配置详情：

      

      参数	描述
      Ranger Service Type	指明在Ranger中添加的Service类型，下拉选择Hive。
      Ranger Service Name	请输入在Ranger中配置的Service name，可自定义配置。
      EMR集群ID	Ranger Service Type为Hive时，需要指定Ranger Service Name对应的EMR集群。 说明 您必须拥有AliyunEMRReadOnlyAccess权限，才能获取EMR集群的列表。

      

3. 配置完成后，单击确认即可完成配置。

后续操作

• 配置完成Ranger页面，可在管理Ranger页面的Ranger列表中的操作列对相应的Ranger进行管理Service、编辑和删除操作。

• 配置完成Service后，可在管理Service页面的Service列表中的操作列对相应的Service进行编辑和删除操作。