AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

新增Ranger配置

更新时间:
复制为 MD 格式
产品详情
我的收藏

DataWorks安全中心配置Ranger信息,实现对StarRocksHiveLindorm数据源的权限申请与审批。配置完成后,用户可在DataWorks中申请库/表的访问权限,安全管理员审批后将在Ranger中自动生成对应的Policy

功能概述

Ranger支持安全管理员采用主动授权的方式管理StarRocksHiveLindorm用户访问库/表的权限。通过在DataWorks安全中心中配置Ranger信息并关联Service,用户即可在DataWorks中提交权限申请,安全管理员审批后在Ranger中生成相应的Policy,从而实现数据访问控制。

完整的Ranger权限管控流程如下:

  1. 新增Ranger配置:在安全中心配置Ranger实例的连接信息。

  2. 新增Service关联:为Ranger实例添加StarRocks、HiveLindorm类型的Service。

  3. 配置身份凭证:为RAM用户/角色配置访问数据源的账号映射。详情请参见身份凭证

  4. 申请权限:用户在数据访问控制 > 权限申请中提交权限申请,安全管理员审批后自动在Ranger中生成Policy。

    说明

    只有关联Ranger Service后,数据访问控制 > 权限申请页面才会出现对应的数据源类型。

适用范围

  • 操作者必须是租户管理员租户安全管理员的身份,才可以进入管理Ranger页面进行配置。

  • EMR/Lindorm集群和DataWorks的资源组必须在同一个VPC

  • EMR/Lindorm集群必须归属到DataWorks的工作空间中,且已完成资源组的初始化。详情请参见:旧版数据开发:绑定EMR计算资源

  • DataWorks的资源组仅支持:Serverless资源组,详情请参见:使用Serverless资源组

进入管理Ranger页面

  1. 登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

  2. 单击左侧导航栏的管理Ranger,进入管理Ranger页面。

步骤一:新增Ranger

在管理Ranger页面,单击新增按钮,添加Ranger配置信息。配置详情如下:

参数

描述

集群类型

选择集群类型。可选值:EMRLindorm

  • 选择EMR:适用于通过EMR集群的Ranger管理HiveStarRocks的数据权限。

  • 选择Lindorm:适用于通过Lindorm集群的Ranger管理Lindorm宽表引擎的数据权限。

EMR集群ID / Lindorm实例ID

根据所选的集群类型,选择对应的集群或实例。

  • 集群类型为EMR时,选择Ranger服务所属的EMR集群。

  • 集群类型为Lindorm时,选择Ranger服务所属的Lindorm实例。

说明

当前账号必须具备AliyunEMRReadOnlyAccessAliyunLindormReadOnlyAccess权限才能获取EMR集群列表数据。

资源组

指定DataWorks访问Ranger服务时使用的资源组。

说明

仅支持使用Serverless资源组。

RangerAdmin地址

Ranger管理服务的URL地址。DataWorks会通过该地址与Ranger通信以配置policy。

说明

请使用RangerAdminVPC内网访问地址

Ranger管理员账号

Ranger管理服务的管理员账号。

Ranger管理员密码

Ranger管理员账号对应的密码。

可用性验证

单击可用性验证进行连通性测试。验证必须通过后才能保存配置。

配置完成后,单击确认保存Ranger配置。

步骤二:新增Service

新增Ranger后,您需要继续配置Service。只有关联了Ranger Service后,用户才能在数据访问控制 > 权限申请页面选择对应的数据源类型。

  1. 管理Ranger页面,找到需要配置的Ranger服务,单击操作列的管理Service按钮,进入管理Service页面。

  2. 单击新增关联按钮,根据数据源类型选择对应的Service配置。

    新增StarRocks类型的Service

    适用于通过Ranger管理StarRocks实例的库/表权限。

    参数

    描述

    Ranger Service Type

    选择StarRocks

    说明

    StarRocks实例中存在外部catalog时,需要先关联内部catalog,之后再关联外部catalog。

    Ranger Service Name

    输入在Ranger中配置的Service name,可自定义。

    关联StarRocks实例ID

    选择Ranger Service Name对应的StarRocks实例。

    说明

    拥有AliyunEMRReadOnlyAccess权限,才能获取EMR集群的列表。

    Catalog

    选择StarRocks实例中的Catalog。添加后,用户才能申请该Catalog中库/表的权限。

    新增Hive类型的Service

    适用于通过Ranger管理EMR集群中Hive的库/表权限。

    参数

    描述

    Ranger Service Type

    选择Hive

    Ranger Service Name

    输入在Ranger中配置的Service name,可自定义。默认为emr-hive

    EMR集群ID

    选择Ranger Service Name对应的EMR集群。

    说明

    拥有AliyunEMRReadOnlyAccess权限,才能获取EMR集群的列表。

    新增Lindorm类型的Service

    适用于通过Ranger管理Lindorm宽表引擎的表级别权限。

    参数

    描述

    Ranger Service Type

    选择Lindorm

    Ranger Service Name

    输入在Ranger中配置的Service name,可自定义。

    Lindorm实例

    选择Ranger Service Name对应的Lindorm实例。

    说明

    拥有AliyunLindormReadOnlyAccess权限,才能获取Lindorm实例列表。

  3. 配置完成后,单击确认即可完成Service配置。

后续操作

完成RangerService配置后,还需要为RAM用户/角色配置身份凭证,将云账号映射到数据源的访问账号。详情请参见身份凭证

上一篇:风险识别规则下一篇:身份凭证