注意:
通过策略配置的用户权限,优先级高于权限审计、我的权限功能中的库表权限授权、申请审批。由于策略管理为引擎 Ranger 层修改且权限高于用户个人的授权、申请,用户的库表授权信息会被覆盖,具体情况为:当项目管理员角色在策略管理中配置了用户的库表访问权限后,对应用户已在“权限审计”、“我的权限”中通过他人授权或申请审批获取的库表权限则会被覆盖,不再显示。
EMR
基于底层引擎的权限策略配置,仅支持主账号/CAM 授权的子账号操作管理。通过策略配置的用户权限,优先级高于权限审计、我的权限功能中的库表权限授权、申请审批。由于策略管理为引擎 Ranger 层修改且权限高于用户个人的授权、申请,用户的库表授权信息会被覆盖,具体情况为:当项目管理员角色在策略管理中配置了用户的库表访问权限后,对应用户已在“权限审计”、“我的权限”中通过他人授权或申请审批获取的库表权限则会被覆盖,不再显示。
实例/集群列表
EMR 策略管理页面可查看所选项目绑定的 EMR 存算引擎的实例集群。单击对应集群后可进入二级子页面,查看当前实例/集群下不同数据源的连接状态。
配置策略
EMR 策略管理集群下的二级子页面提供配置策略功能,单击配置策略,即可进入对应集群的访问策略页面。
注意:
当前引擎处于非安全模式时,无法进入访问策略页面。
访问策略列表
访问策略列表中展示了对应集群下已配置的所有访问策略,支持编辑与删除策略的操作。
创建访问策略
在访问策略列表中单击左上角创建,即可进入策略配置页面。
信息 | 详情 |
策略名称 | 策略名称。 |
描述(可选) | 对当前策略的描述。 |
库 | 通过下拉框选择需要配置访问策略的H数据库。支持单选与多选。 |
表 | 通过下拉框选择需要配置访问策略的上层数据库内的数据表。支持单选与多选。 |
列 | 通过下拉框选择需要配置访问策略的上层数据表内的数据列(字段)。支持单选与多选。 |
审计日志 | 可选择是否开启审计日志,记录选定内容的操作记录。 |
策略状态 | 可选择是否开启当前策略。 |
允许访问 | 创建当前策略下允许特定用户的访问的权限。可以选择配置当前用户可执行的访问操作,或反向配置不可访问操作。 |
拒绝访问 | 创建当前策略下拒绝特定用户访问的权限。可以选择配置拒绝当前用户的访问操作,或反向配置该用户除某些操作外其余均为不可访问操作。 |
DLC
DLC 权限配置需要该用户具备相应的策略授权,权限配置全局有效;权限审计、我的权限暂不支持 DLC 类型。
用户列表
DLC 策略管理页面可查看 DLC 存算引擎的管理用户,列表中显示用户 ID、用户名称、用户类型、描述、添加者、添加时间以及编辑、授权、删除的操作功能。
信息 | 详情 | |
用户 ID | | DLC 的权限用户 ID。 |
用户名称 | | DLC 的权限用户名称。 |
用户类型 | | DLC 权限用户的权限类型,其中管理员拥有所有的数据、引擎、任务等权限,普通用户需要授权以获取相应权限。 |
描述 | | 权限用户的描述信息。 |
添加者 | | 向 DLC 中添加权限用户的添加人。 |
添加时间 | | 向 DLC 中添加权限用户的添加时间。 |
操作 | 编辑 | 编辑权限用户的配置信息。 |
| 授权 | 支持向权限用户授权数据权限与引擎权限。 |
| 删除 | 删除权限用户。 |
添加用户
在 DLC 策略管理页面,先选择 DLC 存算引擎的所属区域,再单击添加用户,在弹框中选择需要添加的子用户并添加描述信息。
用户授权
数据权限
确定需要给予数据权限的用户,在对应用户的操作列下单击授权 > 数据权限,进入用户数据权限授权页面。
在用户数据权限授权页面单击添加权限,在右侧弹框中进行权限配置。
数据目录
选择数据目录的权限类型,可以设置 DataLakeCatalog 下的数据库创建权限,以及其他数据目录的创建权限。
数据库表
数据库表包括数据库、数据表、视图、函数等权限设置。查询分析与数据编辑权限包含了对选定目标进行分析或者编辑所需的权限;所有者权限,在数据编辑权限的基础上,可对权限进行再次授权。
完成对用户数据权限的授权后,可以通过回收功能将权限进行回收。
引擎权限
确定需要给予引擎权限的用户,在对应用户的操作列下单击授权 > 引擎权限,进入用户引擎权限授权页面。
在用户数据权限授权页面单击添加权限,在右侧弹框中进行权限配置。
选择需要授权的数据引擎后,即可配置用户针对数据引擎的权限,包括使用、修改、操作、监控和删除等。