DLF支持通过配置可信 VPC 来增强 REST API 的访问安全性
VPC配置说明
DLF支持在 Region 级别或 Catalog 级别配置可信 VPC。DLF 服务会将两个级别的可信 VPC 列表取并集:只要请求来源 VPC 出现在任一级别的可信列表中,即可调用对应 Catalog 的 REST API。
若请求来源 VPC 未在任一级别配置为可信 VPC,DLF 将拒绝该请求,并返回如下错误信息:
Source vpc vpc-xxxxxx is not trusted, please add this vpc to trusted list on the dlf console.
Region 级别配置
在首次开通 DLF 服务时,系统会自动将当前阿里云账号在该地域(Region)下所有已存在的 VPC 添加至可信 VPC 列表。如果您需要对 VPC 访问权限进行精细化控制,可手动添加或删除可信 VPC。
配置步骤
登录数据湖构建控制台。
在左侧导航栏中,单击。
在弹出的对话框中,选择一个或多个需要设为可信的 VPC,然后单击确定。
此配置适用于当前地域下所有 Catalog。若需限制特定 VPC 仅访问指定 Catalog,请参见Catalog 级别配置
Catalog 级别配置
当您需要限制某个 VPC 仅能访问特定 Catalog 时,应先在Region 级别移除该 VPC 的全局信任关系,再在目标 Catalog 中单独配置其可信 VPC 列表。
登录数据湖构建控制台。
在左侧导航栏中,单击数据目录。
找到目标 Catalog,单击其名称进入详情页,然后选择目录配置标签页。
新增配置项
catalog.rest.api.trusted.vpcs。Key:
catalog.rest.api.trusted.vpcsValue:以英文逗号(
,)分隔的可信 VPC ID 列表,例如:vpc-1,vpc-2
保存配置。
Catalog 级别配置仅对该 Catalog 生效。DLF 服务在鉴权时会合并 Region 级别与 Catalog 级别的可信 VPC 列表,任一匹配即视为合法请求。