本文详细介绍了DLF中REST API和管控API所需的RAM鉴权Action列表及其对应的功能说明,方便您配置精细化的权限策略,实现权限最小化管理,确保安全性和操作灵活性。
概念介绍
REST API:数据链路API,基于Paimon REST API实现,用于数据的高效访问与操作。
管控API:管控链路API,基于阿里云OpenAPI构建,用于实现高效的资源管理与运维操作。
说明如需通过DLF管控台对Catalog、库、表进行管理,您需要具备相应的管控API权限。若您无需访问管控平台,则不必授予这些管控API权限。请根据账户实际需求,在DLF管控台中为所需执行的操作授予对应的Action权限。
设置REST API所需Action
Paimon Catalog
分类 | REST API | RAM鉴权Action | 说明 |
Config | GetConfig | dlf:GetConfig | 获取数据目录的配置。 |
Database | ListDatabases | dlf:ListDatabases | 查询数据库列表。 |
CreateDatabase | dlf:CreateDatabase | 创建数据库。 | |
GetDatabase | dlf:GetDatabase | 获取数据库。 | |
DropDatabase | dlf:DropDatabase | 删除数据库。 | |
AlterDatabase | dlf:AlterDatabase | 变更数据库。 | |
Table | ListTables | dlf:ListTables | 查询表列表。 |
CreateTable | dlf:CreateTable | 创建表。 | |
ListTableDetails | dlf:ListTableDetails | 查询表详细信息列表。 | |
GetTable | dlf:GetTable | 获取表。 | |
AlterTable | dlf:AlterTable | 变更表。 | |
DropTable | dlf:DropTable | 删除表。 | |
RenameTable | dlf:RenameTable | 重命名表。 | |
CommitTable | dlf:CommitTable | 提交表变更。 | |
GetTableToken | dlf:GetTableToken | 获取访问表数据的凭证。 | |
GetTableSnapshot | dlf:GetTableSnapshot | 获取表快照。 | |
Partition | ListPartitions | dlf:ListPartitions | 查询分区列表。 |
MarkDonePartitions | dlf:MarkDonePartitions | 标记完成分区。 | |
Branch | ListBranches | dlf:ListBranches | 查询表分支列表。 |
CreateBranch | dlf:CreateBranch | 创建表分支。 | |
DropBranch | dlf:DropBranch | 删除表分支。 | |
ForwardBranch | dlf:ForwardBranch | Forward表分支。 | |
View | ListViews | dlf:ListViews | 查询视图列表。 |
CreateView | dlf:CreateView | 创建视图。 | |
ListViewDetails | dlf:ListViewDetails | 查询视图详细信息列表。 | |
GetView | dlf:GetView | 获取视图。 | |
DropView | dlf:DropView | 删除视图。 | |
RenameView | dlf:RenameView | 重命名视图。 |
Iceberg Catalog
分类 | REST API | RAM鉴权Action | 说明 |
Config | GetConfig | dlf:GetConfig | 获取数据目录的配置。 |
Namespace | ListNamespaces | dlf:ListDatabases | 查询命名空间列表。 |
CreateNamespace | dlf:CreateDatabase | 创建命名空间。 | |
LoadNamespaceMetadata | dlf:GetDatabase | 获取命名空间。 | |
NamespaceExists | dlf:GetDatabase | 检查命名空间是否存在。 | |
UpdateProperties | dlf:AlterDatabase | 更新命名空间属性。 | |
DropNamespace | dlf:DropDatabase | 删除命名空间。 | |
Table | ListTables | dlf:ListTables | 查询表列表。 |
CreateTable | dlf:CreateTable | 创建表。 | |
LoadTable | dlf:GetTable | 获取表。 | |
TableExists | dlf:GetTable | 检查表是否存在。 | |
UpdateTable | dlf:AlterTable | 更新表。 | |
DropTable | dlf:DropTable | 删除表。 |
设置管控API所需Action
Paimon Catalog
分类 | 管控API | RAM鉴权Action | 说明 |
开通 | DescribeRegions | dlf:DescribeRegions | 获取DLF服务的域列表。 |
GetRegionStatus | dlf:GetRegionStatus | 获取开通状态。 | |
Subscribe | dlf:Subscribe | 开通DLF。 | |
用户角色管理 | GetUser | dlf:GetUser | 获取用户。 |
ListUsers | dlf:ListUsers | 查询用户列表。 | |
CreateRole | dlf:CreateRole | 创建角色。 | |
UpdateRole | dlf:UpdateRole | 更新角色。 | |
DeleteRole | dlf:DeleteRole | 删除角色。 | |
GetRole | dlf:GetRole | 获取角色。 | |
ListRoles | dlf:ListRoles | 查询角色列表。 | |
GrantRoleToUsers | dlf:GrantRoleToUsers | 批量授予多个用户指定角色权限。 | |
RevokeRoleFromUsers | dlf:RevokeRoleFromUsers | 批量取消授予多个用户指定角色权限。 | |
UpdateRoleUsers | dlf:UpdateRoleUsers | 更新角色中的用户。 | |
ListRoleUsers | dlf:ListRoleUsers | 查询角色用户列表。 | |
ListUserRoles | dlf:ListUserRoles | 查询用户角色列表。 | |
RefreshUserSync | dlf:RefreshUserSync | 启动用户同步。 | |
数据目录 | CreateCatalog | dlf:CreateCatalog | 创建数据目录。 |
GetCatalog | dlf:GetCatalog | 获取数据目录。 | |
DropCatalog | dlf:DropCatalog | 删除数据目录。 | |
AlterCatalog | dlf:AlterCatalog | 更新数据目录。 | |
ListCatalogs | dlf:ListCatalogs | 查询数据目录列表。 | |
GetCatalogByld | dlf:GetCatalogByld | 根据CatalogId获取数据目录。 | |
数据库 | AlterDatabase | dlf:AlterDatabase | 更新数据库。 |
GetDatabase | dlf:GetDatabase | 获取数据库。 | |
DropDatabase | dlf:DropDatabase | 删除数据库。 | |
CreateDatabase | dlf:CreateDatabase | 创建数据库。 | |
ListDatabaseDetails | dlf:ListDatabaseDetails | 查询数据库详细信息列表。 | |
ListDatabases | dlf:ListDatabases | 查询数据库列表。 | |
表 | CreateTable | dlf:CreateTable | 创建表。 |
DropTable | dlf:DropTable | 删除表。 | |
ListTableDetails | dlf:ListTableDetails | 查询表详细信息列表。 | |
GetTable | dlf:GetTable | 获取表。 | |
ListTables | dlf:ListTables | 查询表列表。 | |
权限管理 | GrantPermission | dlf:GrantPermission | 赋予资源权限。 |
RevokePermission | dlf:RevokePermission | 取消资源权限。 | |
BatchGrantPermissions | dlf:BatchGrantPermissions | 批量授权。 | |
BatchRevokePermissions | dlf:BatchRevokePermissions | 批量取消授权。 | |
ListPermissions | dlf:ListPermissions | 查询指定资源的权限列表。 |
Iceberg Catalog
分类 | 管控API | RAM鉴权Action | 说明 |
命名空间 | GetIcebergNamespace | dlf:GetIcebergNamespace | 获取命名空间。 |
ListIcebergNamespaceDetails | dlf:ListIcebergNamespaceDetails | 查询命名空间列表。 | |
表 | GetIcebergTable | dlf:GetIcebergTable | 获取表。 |
ListIcebergTableDetails | dlf:ListIcebergTableDetails | 查询表详细信息列表。 | |
ListIcebergSnapshots | dlf:ListIcebergSnapshots | 查询表版本历史列表。 |
RAM授权策略示例
您可以创建自定义权限策略,实现精细化权限管理。详情请参见创建自定义权限策略。
{
"Version": "1",
"Statement": [
{
"Action": [
"dlf:ListDatabases",
"dlf:CreateDatabase",
"dlf:GetDatabase",
"dlf:AlterDatabase",
"dlf:ListTables",
"dlf:CreateTable",
"dlf:GetTable",
"dlf:AlterTable",
"dlf:ListPartitions",
"dlf:ListViews"
],
"Resource": "*",
"Effect": "Allow"
}
]
}