身份凭证用于将阿里云RAM用户/RAM角色映射到数据源的访问账号。管理员配置身份凭证后,用户即可在DataWorks中申请StarRocks、Hive、Lindorm的数据访问权限,并由Ranger完成权限管控。
功能概述
当用户通过DataWorks访问StarRocks、Hive或Lindorm等数据源时,数据引擎不直接支持阿里云RAM用户/RAM角色认证,需要使用数据源自身的账号(如用户名/密码)。身份凭证功能提供统一的账号映射管理,将RAM用户/RAM角色与数据源访问账号进行关联,避免身份凭证泄露、恶意篡改和越权使用的风险。
身份凭证在整个Ranger权限管控流程中的位置如下:
新增Ranger配置:在安全中心配置Ranger实例的连接信息。详情请参见新增Ranger配置。
新增Service关联:为Ranger实例添加StarRocks、Hive或Lindorm类型的Service。详情请参见新增Service。
配置身份凭证:为RAM用户/角色配置访问数据源的账号映射。
申请权限:用户在中提交权限申请,安全管理员审批后自动在Ranger中生成Policy。
适用范围
已完成Ranger配置和Service关联。详情请参见新增Ranger配置。
操作者必须是租户管理员的身份,才可以进入身份凭证的页面进行配置。
进入身份凭证页面
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
单击左侧导航栏的身份凭证,进入身份凭证页面。
新增身份凭证
在身份凭证页面,单击左上角的新增按钮,进入新建访问身份弹窗内进行配置,配置详情如下:
参数 | 描述 |
阿里云RAM用户/角色 | 选择要关联身份凭证的RAM用户或RAM角色。该RAM用户/角色将通过此身份凭证中配置的账号访问数据源。 |
数据源类型 | 选择访问资源所属的数据源类型。已支持:StarRocks、Hive、Lindorm。 说明 所选的数据源类型需要与已配置的Ranger Service类型匹配。例如,若需要申请Lindorm权限,则需在Ranger中配置Lindorm类型的Service。 |
集群/实例 | 根据所选的数据源类型,选择对应的集群或实例:
重要 拥有 |
账号类型 | 选择账号类型,账号类型决定了该用户是否具有审批权限:
|
账号名称 | 阿里云RAM用户/角色访问数据源时使用的账号名称。 重要 此处填写的账号名称需要与Ranger中配置的用户名保持一致,否则Ranger无法正确匹配权限策略。 |
账号密码 | 阿里云RAM用户/角色访问数据源时使用的密码。 |
后续操作
身份凭证配置完成后,用户即可在,选择需要访问的库/表,提交权限申请。详情请参见数据访问控制。