本文主要介绍数据湖构建(DLF)的权限体系,重点阐述如何为RAM用户(子账号)授予适当权限,以确保其能够正确使用和访问DLF的各项功能。
数据湖构建(DLF)的权限体系分为API权限与DLF数据权限两类。如果您要访问DLF的页面或数据,通常都需要通过这两层权限校验,才可以正确地访问到数据资源。
API权限:主要控制对DLF所有API的访问权限。此权限设计决定了RAM用户是否可以访问某些DLF API或页面。
DLF数据权限:深入数据湖内部,该权限体系细化至具体的数据资源使用与访问权限管理。涵盖范围广泛,包括但不限于数据库、数据表以及数据目录的访问权限,同时涉及数据操作权限的调控。这一层次确保了即使在RAM权限允许的大前提下,用户对具体数据资源的操作仍需遵循更为细致的授权规则,实现数据级别的精密保护。
权限校验流程图
权限校验说明
第一层:RAM API权限
此层级集中管理对DLF所有API访问权限的控制,确保RAM用户仅能访问其被授权的功能或页面。在RAM控制台预设了两种授权策略,以适应不同的访问需求。
策略名称 | 说明 |
AliyunDLFFullAccess | 具备所有DLF API的调用权限,适合需要进行全面数据湖管理的用户。 |
AliyunDLFReadOnlyAccess | 旨在提供只读权限,表示具备所有DLF只读API(例如,List、Get操作)的调用权限。该策略禁止执行任何写入或删除操作(Create、Delete等)。 |
第二层:DLF细粒度数据权限
此层级主要控制DLF内资源的访问和使用权限,包括数据目录、数据库和数据表,以及角色、用户和新增授权等操作权限。
为了方便管理员整体进行数据权限管理,DLF提供了内置的数据权限管理员角色,您可以在页面看到这两个角色,并将某些用户添加到该角色下。更加细粒度的权限配置,请参见权限管理。
角色名称 | 角色描述 | 角色说明 |
admin | 数据湖管理员 | 拥有数据湖构建中,所有的数据权限及授权权限,以及添加自建角色、新建Catalog。 |
super_administrator | 超级管理员 | 拥有数据湖构建中,所有admin角色的权限,并可以修改admin角色的用户。 说明
|