云服务器内容精选

华为云首页用户手册

管理数据权限

湖仓构建 LakeFormation-数据权限概述

数据权限概述数据湖权限支持配置数据库、数据表、函数等维度的权限。云服务管理员可针对不同的管理对象配置不同用户组的权限，统一对数据湖资源进行管理。用户可通过LakeFormation管理控制台对数据湖内的资源进行统一权限管理，对于 IAM 用户/用户组，也可以通过关联LakeFormation服务的细粒度权限策略进行特性权限场景的授权，参见创建LakeFormation自定义IAM策略。当湖内数据资源较多时，建议通过LakeFormation管理控制台对数据湖内的资源进行统一权限管理。 LakeFormation配置权限时需要包含如下要素：表1 LakeFormation权限要素权限要素描述授权主体被授予权限的对象，使其具备针对某数据资源的指定访问权限的用户组、角色、IAM用户、委托用户等身份，如某一用户组、某一角色等。授权主体（用户组、角色、IAM用户、委托用户）名称中不能包含中划线（-），否则可能造成操作失败。授权类型数据湖中管理的资源：数据目录（Catalog）数据库（Database）数据表（Table）数据列（Column）函数（Function） OBS路径。操作类型主体对授权类型的访问权限，不同授权类型支持的操作类型各不相同，可参见表2。赋予授权权限是否赋予授权权限，赋予授权权限后，授权主体便可以将拥有将权限授权给其他授权主体。表2 不同授权类型的操作权限授权类型操作类型权限说明 Catalog ALL Catalog的所有操作权限。 ALTER 修改Catalog。 CREATE_DATABASE 创建数据库。 DROP 删除Catalog。 DESCRIBE 查看Catalog的元数据信息或切换Catalog。 LIST_DATABASE 查看Catalog下资源列表。数据库 ALL 数据库的所有操作权限。 ALTER 修改数据库。 DROP 删除数据库。 DESCRIBE 查看数据库的元数据信息或切换数据库。 LIST_TABLE 查看数据库下资源列表。 LIST_FUNC 查看某一数据库下的函数。 CREATE_TABLE 在数据库中创建表。 CREATE_FUNC 在数据库中创建函数。表 ALL 表的所有操作权限。 ALTER 修改表。 DROP 删除表。 DESCRIBE 查看表的元数据信息。 UPDATE 更新表数据。 INSERT 插入表数据。 SELECT 查询表内数据。 DELETE 删除表的数据。列 SELECT 查询表内的列数据。函数 ALL 函数的所有操作权限。 ALTER 修改函数。 DROP 删除函数。 DESCRIBE 查看函数的元数据信息。 EXEC 执行函数。路径 READ 路径下文件的读权限。 WRITE 路径下文件的写权限。权限管理员通常分为系统权限管理员与业务权限管理员，需要具备的IAM权限与权限管理范围不同系统权限管理员需要拥有以下IAM操作权限：lakeformation:policy:describe、lakeformation:policy:create、lakeformation:policy:drop。权限管理范围：可将任意元数据权限授予给其他授权主体，可撤销任意元数据权限。业务权限管理员需要拥有以下IAM操作权限： lakeformation:policy:describe、lakeformation:policy:delegate。权限管理范围：需要被业务管理员赋予授权权限，才能将元数据权限授予其他授权主体，或撤销元数据权限。例如：系统中存在系统权限管理员User A、业务权限管理员User B、普通用户User C。User A将Catalog1的ALL权限授予User B并同时赋予授权权限后，User B可将Catalog1的DESC等权限授予User C。但User B无法将其他Catalog的权限授予User C。父主题：管理数据权限

湖仓构建 LakeFormation 管理数据权限