Data Lake Insight

Управление разрешениями

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

Если вам нужно назначать разные разрешения сотрудникам в вашем enterprise для доступа к ресурсам DLI, IAM — хороший выбор для управления детализированными разрешениями. IAM предоставляет аутентификацию личности, управление разрешениями и контроль доступа, помогая вам безопасно получать доступ к вашим облачным ресурсам.

С помощью IAM вы можете использовать свою учётную запись для создания IAM‑пользователей для ваших сотрудников и назначать разрешения пользователям для контроля их доступа к определённым типам ресурсов. Например, некоторым разработчикам программного обеспечения в вашем enterprise необходимо использовать ресурсы DLI, но им нельзя удалять их или выполнять какие‑либо операции с высоким риском. Чтобы достичь этого, вы можете создать IAM‑пользователей для разработчиков и предоставить им только те разрешения, которые требуются для использования ресурсов DLI.

Если вашей учётной записи не требуются отдельные IAM‑пользователи для управления разрешениями, вы можете пропустить этот раздел.

Разрешения DLI

По умолчанию новые IAM‑пользователи не имеют назначенных разрешений. Вам необходимо добавить пользователей в одну или несколько групп и прикрепить к этим группам политики разрешений или роли. Затем пользователи наследуют разрешения от групп, в которые они добавлены. После авторизации пользователи могут выполнять указанные операции над DLI в соответствии с разрешениями.

DLI — это сервис уровня проекта, развернутый и доступный в конкретных физических регионах. Чтобы назначить разрешения ServiceStage группе пользователей, укажите область как проекты, специфичные для регионов, и выберите проекты, для которых разрешения вступят в силу. If Все проекты выбрано, разрешения вступят в силу для группы пользователей во всех проектах, специфичных для регионов. При доступе к DLI пользователи должны переключиться в регион, где им разрешено использовать облачные сервисы.

Type: Есть роли и политики.

Roles: Тип грубого механизма авторизации, определяющего разрешения, связанные с обязанностями пользователя. Доступно только ограниченное количество ролей уровня сервиса. Если у одной роли есть зависимая роль, необходимая для доступа к SA, назначьте обе роли пользователям. Однако роли не являются оптимальным выбором для тонкой авторизации и безопасного контроля доступа.
Политики: Тип тонко-детализированного механизма авторизации, который определяет разрешения, необходимые для выполнения операций над конкретными облачными ресурсами при определённых условиях. Этот механизм позволяет более гибкую авторизацию на основе политик, удовлетворяя требования безопасного контроля доступа. Например, вы можете предоставить пользователям DLI только разрешения для управления определённым типом ECSs. Для действий, поддерживаемых DLI API, см. "Permissions Policies and Supported Actions" в Data Lake Insight Справочник API.

Таблица 1 DLI системные разрешения
Имя роли/политики	Описание	Категория	Зависимость
DLI FullAccess	Полные разрешения для DLI.	Системно-определенная политика	Эта роль зависит от других ролей в том же проекте. Создание подключения источника данных: VPC ReadOnlyAccess Создание тега: TMS FullAccess и EPS EPS FullAccess Использование OBS для хранения: OBS OperateAccess Создание агентства: Администратор безопасности
DLI ReadOnlyAccess	Разрешения только для чтения для DLI. С разрешениями только для чтения вы можете использовать ресурсы DLI и выполнять операции, которые не требуют тонко настроенных прав. Например, создавать глобальные переменные, создавать пакеты и группы пакетов, отправлять задачи в очередь по умолчанию, создавать таблицы в базе данных по умолчанию, создавать соединения источников данных и удалять соединения источников данных.	Системно-определенная политика	Нет
Тенант Администратор	Тенант администратор Разрешения выполнения Джобы для ресурсов DLI. После создания базы данных или очереди пользователь может использовать ACL для назначения прав другим пользователям. Область: сервис уровня проекта	Системно-определенная роль	Нет
DLI Service Administrator	Администратор DLI. Разрешения выполнения Джобы для ресурсов DLI. После создания базы данных или очереди пользователь может использовать ACL для назначения прав другим пользователям. Область: сервис уровня проекта	Системно-определенная роль	Нет

Таблица 2 Перечисляет общие операции, поддерживаемые каждой системной политикой. Вы можете выбрать необходимые системные политики в соответствии с этой таблицей.

Таблица 2 Общие операции, поддерживаемые каждым системным разрешением
Ресурс	Операция	Описание	DLI FullAccess	DLI ReadOnlyAccess	Тенант Администратор	DLI Service Administrator
Очередь	DROP_QUEUE	Удаление очереди	√	×	√	√
	SUBMIT_JOB	Отправка задания	√	×	√	√
	CANCEL_JOB	Прекращение задания	√	×	√	√
	RESTART	Перезапуск очереди	√	×	√	√
	GRANT_PRIVILEGE	Предоставление прав доступа к очереди	√	×	√	√
	REVOKE_PRIVILEGE	Отзыв прав доступа к очереди	√	×	√	√
	SHOW_PRIVILEGES	Просмотр прав доступа к очереди других пользователей	√	×	√	√
База данных	DROP_DATABASE	Удаление базы данных	√	×	√	√
	CREATE_TABLE	Создание таблицы	√	×	√	√
	CREATE_VIEW	Создание представления	√	×	√	√
	EXPLAIN	Пояснение SQL‑запроса в виде плана выполнения	√	×	√	√
	CREATE_ROLE	Создание роли	√	×	√	√
	DROP_ROLE	Удаление роли	√	×	√	√
	SHOW_ROLES	Отображение роли	√	×	√	√
	GRANT_ROLE	Назначение роли	√	×	√	√
	REVOKE_ROLE	Отвязывание роли	√	×	√	√
	SHOW_USERS	Отображение связей привязки между всеми ролями и пользователями	√	×	√	√
	GRANT_PRIVILEGE	Предоставление прав доступа к базе данных	√	×	√	√
	REVOKE_PRIVILEGE	Отзыв прав доступа к базе данных	√	×	√	√
	SHOW_PRIVILEGES	Просмотр разрешений базы данных других пользователей	√	×	√	√
	DISPLAY_ALL_TABLES	Отображение таблиц в базе данных	√	√	√	√
	DISPLAY_DATABASE	Отображение баз данных	√	√	√	√
	CREATE_FUNCTION	Создание функции	√	×	√	√
	DROP_FUNCTION	Удаление функции	√	×	√	√
	SHOW_FUNCTIONS	Отображение всех функций	√	×	√	√
	DESCRIBE_FUNCTION	Отображение деталей функции	√	×	√	√
Таблица	DROP_TABLE	Удаление таблиц	√	×	√	√
	SELECT	Запрос таблиц	√	×	√	√
	INSERT_INTO_TABLE	Вставка данных в таблицу	√	×	√	√
	ALTER_TABLE_ADD_COLUMNS	Добавление столбца	√	×	√	√
	INSERT_OVERWRITE_TABLE	Перезапись таблицы	√	×	√	√
	ALTER_TABLE_RENAME	Переименование таблицы	√	×	√	√
	ALTER_TABLE_ADD_PARTITION	Добавление разделов в таблицу разделов	√	×	√	√
	ALTER_TABLE_RENAME_PARTITION	Переименование раздела таблицы	√	×	√	√
	ALTER_TABLE_DROP_PARTITION	Удаление разделов из таблицы разделов	√	×	√	√
	SHOW_PARTITIONS	Отображение всех разделов	√	×	√	√
	ALTER_TABLE_RECOVER_PARTITION	Восстановление разделов таблицы	√	×	√	√
	ALTER_TABLE_SET_LOCATION	Установка пути раздела	√	×	√	√
	GRANT_PRIVILEGE	Предоставление прав на таблицу	√	×	√	√
	REVOKE_PRIVILEGE	Отзыв разрешений на таблицу	√	×	√	√
	SHOW_PRIVILEGES	Просмотр разрешений на таблицу других пользователей	√	×	√	√
	DISPLAY_TABLE	Отображение таблицы	√	√	√	√
	DESCRIBE_TABLE	Отображение информации о таблице	√	×	√	√
Расширенное подключение к источнику данных	BIND_QUEUE	Привязка расширенного подключения к источнику данных к очереди Он используется только для предоставления прав доступа между проектами.	×	×	×	×

Родительская тема: Обзор сервиса

Предыдущая статья

Технические характеристики

Следующая статья

Квоты

Эта статья полезна?

Поддержка Юридические документы