本文主要介绍数据湖构建(DLF)的权限体系,重点阐述如何为RAM用户(子账号)授予适当权限,以确保其能够正确使用和访问DLF的各项功能。
数据湖构建(DLF)的权限体系分为OpenAPI权限与DLF数据权限两类。如果您要访问DLF的页面或数据,通常都需要通过这两层权限校验,才可以正确的访问到数据资源。
OpenAPI权限:主要控制对DLF所有OpenAPI的访问权限。此权限设计决定了RAM用户是否可以访问某些DLF OpenAPI或页面。
DLF数据权限:深入数据湖内部,该权限体系细化至具体的数据资源使用与访问权限管理。涵盖范围广泛,包括但不限于数据库、数据表以及数据目录的访问权限,同时涉及数据操作权限的调控。这一层次确保了即使在RAM权限允许的大前提下,用户对具体数据资源的操作仍需遵循更为细致的授权规则,实现数据级别的精密保护。
权限校验流程图
权限校验说明
第二层分为细粒度和粗粒度两类数据权限控制。只要“DLF细粒度数据权限”与“RAM DLF-DSS粗粒度数据权限”两者之间有一个通过数据权限校验,那么该用户就具备该数据权限。反之,必须两者都不通过数据校验,该用户才不具备该数据权限。
第一层:RAM OpenAPI权限
此层级集中管理对DLF所有OpenAPI访问权限的控制,确保RAM用户仅能访问其被授权的功能或页面。在RAM控制台预设了两种授权策略,以适应不同的访问需求。
策略名称 | 说明 |
AliyunDLFFullAccess | 具备所有DLF OpenAPI的调用权限,适合需要进行全面数据湖管理的用户。 |
AliyunDLFReadOnlyAccess | 旨在提供只读权限,表示具备所有DLF只读OpenAPI(例如,List、Get操作)的调用权限。该策略禁止执行任何写入或删除操作(Create、Delete等)。 |
第二层:RAM DLF-DSS粗粒度数据权限
此层级主要控制DLF内资源的访问和使用权限,包括数据目录、数据库和数据表,以及角色、用户和新增授权等操作权限。在RAM控制台预设了两种授权策略,以适应不同的访问需求。
策略名称 | 说明 |
AliyunDLFDSSFullAccess | 具备所有DLF细粒度资源的访问权限。 |
AliyunDLFDSSReadOnlyAccess | 具备所有DLF细粒度资源的只读访问权限。例如,List、Get、Select、Execute操作。 |
目前“RAM DLF-DSS粗粒度数据权限”主要用于阿里云内部产品之间的快速互信使用。因此,建议您使用“DLF细粒度数据权限”以实现更为精细的数据权限控制。
如果RAM用户(子账户)被授予AdministratorAccess系统策略,则该用户将具备DLF-DSS的所有权限,等同于AliyunDLFDSSFullAccess。
第二层:DLF细粒度数据权限
此层级主要控制DLF内资源的访问和使用权限,包括数据目录、数据库和数据表,以及角色、用户和新增授权等操作权限。
为了方便管理员整体进行数据权限管理,DLF提供了内置的数据权限管理员角色,您可以在页面看到这两个角色,并将某些用户添加到该角色下。更加细粒度的权限配置,请参见数据权限概述。
角色名称 | 角色描述 | 角色说明 |
admin | 数据湖管理员 | 拥有数据湖构建中,所有的数据权限及授权权限,以及添加自建角色、新建Catalog。 |
super_administrator | 超级管理员 | 拥有数据湖构建中,所有admin角色的权限,并可以修改admin角色的用户。开通DLF 2.0的RAM用户会被默认添加为当前地域的DLF超级管理员。 说明 如果RAM用户(子账户)被授予AdministratorAccess系统策略,则相当于具备DLF超级管理员角色的权限。 |