Если вам нужно назначить разные разрешения сотрудникам в вашем enterprise для доступа к вашим DLI ресурсам, IAM является хорошим выбором для тонко настроенного управления разрешениями. IAM предоставляет аутентификацию, управление разрешениями и контроль доступа, помогая вам безопасно получать доступ к вашим облачным ресурсам.
С помощью IAM вы можете использовать свою учётную запись для создания IAM‑пользователей для ваших сотрудников и назначать разрешения этим пользователям, чтобы контролировать их доступ к конкретным типам ресурсов. Например, некоторые разработчики программного обеспечения в вашем enterprise должны использовать DLI ресурсы, но не имеют права удалять их или выполнять любые операции с высоким риском. Чтобы достичь этого, вы можете создать IAM‑пользователей для разработчиков и предоставить им только те разрешения, которые необходимы для использования DLI ресурсов.
Если ваша учётная запись не требует отдельные IAM‑пользователи для управления разрешениями, вы можете пропустить этот раздел.
Новые IAM‑пользователи по умолчанию не имеют назначенных разрешений. Сначала необходимо добавить их в одну или несколько групп и привязать политики или роли к этим группам. Затем пользователи наследуют разрешения от групп и могут выполнять указанные операции в облачных сервисах на основе назначенных им разрешений.
DLI является сервисом уровня проекта, развернутым и доступным в определённых физических регионах. Чтобы назначить разрешения ServiceStage группе пользователей, укажите область как проекты, привязанные к региону, и выберите проекты, для которых разрешения вступят в силу. If Все проекты выбран, разрешения вступят в силу для группы пользователей во всех проектах, привязанных к региону. При доступе к DLI пользователи должны переключиться на регион, в котором им разрешено использовать облачные сервисы.
Типы разрешений: На основе гранулярности авторизации они делятся на роли и политики.
Название роли/политики | Описание | Категория | Зависимость |
|---|---|---|---|
DLI FullAccess | Полные разрешения для DLI. | Системно-определенная политика | Эта роль зависит от других ролей в том же проекте.
|
DLI ReadOnlyAccess | Read-only разрешения для DLI. С разрешениями только для чтения вы можете использовать ресурсы DLI и выполнять операции, не требующие тонкой гранулярности прав. Например, создавать глобальные переменные, создавать пакеты и группы пакетов, отправлять задания в очередь по умолчанию, создавать таблицы в базе данных по умолчанию, создавать подключения к источникам данных и удалять подключения к источникам данных. | Системно-определенная политика | Нет |
Tenant Administrator | Администратор арендатора
| Системно-определенная роль | Нет |
Администратор службы DLI | Администратор DLI.
| Системно-определенная роль | Нет |
Таблица 2 перечисляет общие операции, поддерживаемые каждой системной политикой. Вы можете выбрать необходимые системные политики в соответствии с этой таблицей.
Ресурс | Операция | Описание | DLI Полный доступ | DLI Только чтение | Тенант Администратор | DLI Администратор сервиса |
|---|---|---|---|---|---|---|
Очередь | DROP_QUEUE | Удаление очереди | √ | × | √ | √ |
SUBMIT_JOB | Отправка задания | √ | × | √ | √ | |
CANCEL_JOB | Завершение задания | √ | × | √ | √ | |
RESTART | Перезапуск очереди | √ | × | √ | √ | |
GRANT_PRIVILEGE | Предоставление прав доступа к очереди | √ | × | √ | √ | |
REVOKE_PRIVILEGE | Отзыв прав доступа к очереди | √ | × | √ | √ | |
SHOW_PRIVILEGES | Просмотр прав доступа к очереди другими пользователями | √ | × | √ | √ | |
База данных | DROP_DATABASE | Удаление базы данных | √ | × | √ | √ |
CREATE_TABLE | Создание таблицы | √ | × | √ | √ | |
CREATE_VIEW | Создание представления | √ | × | √ | √ | |
EXPLAIN | Пояснение SQL‑запросов в виде плана выполнения | √ | × | √ | √ | |
CREATE_ROLE | Создание роли | √ | × | √ | √ | |
DROP_ROLE | Удаление роли | √ | × | √ | √ | |
SHOW_ROLES | Отображение роли | √ | × | √ | √ | |
GRANT_ROLE | Назначение роли | √ | × | √ | √ | |
REVOKE_ROLE | Отвязка роли | √ | × | √ | √ | |
SHOW_USERS | Отображение связей привязки между всеми ролями и пользователями | √ | × | √ | √ | |
GRANT_PRIVILEGE | Предоставление привилегий базе данных | √ | × | √ | √ | |
REVOKE_PRIVILEGE | Отзыв привилегий из базы данных | √ | × | √ | √ | |
Показать привилегии | Просмотр прав доступа к базе данных других пользователей | √ | × | √ | √ | |
Отобразить все таблицы | Отображение таблиц в базе данных | √ | √ | √ | √ | |
Отобразить базу данных | Отображение базы данных | √ | √ | √ | √ | |
Создать функцию | Создание функции | √ | × | √ | √ | |
DROP_FUNCTION | Удаление функции | √ | × | √ | √ | |
SHOW_FUNCTIONS | Показ всех функций | √ | × | √ | √ | |
DESCRIBE_FUNCTION | Показ деталей функции | √ | × | √ | √ | |
Таблица | DROP_TABLE | Удаление таблицы | √ | × | √ | √ |
SELECT | Запрос таблиц | √ | × | √ | √ | |
INSERT_INTO_TABLE | Вставка данных в таблицу | √ | × | √ | √ | |
ALTER_TABLE_ADD_COLUMNS | Добавление столбца | √ | × | √ | √ | |
INSERT_OVERWRITE_TABLE | Перезапись таблицы | √ | × | √ | √ | |
ALTER_TABLE_RENAME | Переименование таблицы | √ | × | √ | √ | |
ALTER_TABLE_ADD_PARTITION | Добавление разделов в таблицу с разделами | √ | × | √ | √ | |
ALTER_TABLE_RENAME_PARTITION | Переименование раздела таблицы | √ | × | √ | √ | |
ALTER_TABLE_DROP_PARTITION | Удаление разделов из таблицы с разделами | √ | × | √ | √ | |
SHOW_PARTITIONS | Отображение всех разделов | √ | × | √ | √ | |
ALTER_TABLE_RECOVER_PARTITION | Восстановление разделов таблицы | √ | × | √ | √ | |
ALTER_TABLE_SET_LOCATION | Установка пути раздела | √ | × | √ | √ | |
GRANT_PRIVILEGE | Назначение прав таблицы | √ | × | √ | √ | |
REVOKE_PRIVILEGE | Отзыв прав на таблицу | √ | × | √ | √ | |
SHOW_PRIVILEGES | Просмотр прав на таблицу других пользователей | √ | × | √ | √ | |
DISPLAY_TABLE | Отображение таблицы | √ | √ | √ | √ | |
DESCRIBE_TABLE | Отображение информации о таблице | √ | × | √ | √ | |
Расширенное соединение источника данных | BIND_QUEUE | Привязка расширенного соединения источника данных к очереди Это используется только для предоставления разрешений между проектами. | × | × | × | × |