数据治理中心 DATAARTS STUDIO-配置调度身份:参考:配置委托权限

时间:2024-12-04 08:59:41

参考:配置委托权限

将账号的操作权限委托给 DataArts Studio 服务后,需要配置委托身份的权限,才可与其他服务进行交互。

为实现对权限较小化的安全管控要求,可根据作业中的节点类型,以服务为粒度,参见表1配置相应的服务Admin权限。

也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型,以对应服务API接口为粒度进行权限拆分,满足企业对权限最小化的安全管控要求。参见表2进行配置。例如包含Import GES节点的作业,您只需要创建自定义策略,并勾选ges:graph:getDetail(查看图详情),ges:jobs:getDetail(查询任务状态),ges:graph:access(使用图)这三个授权项即可。

  • 当满足如下条件之一时, MRS 集群才支持委托方式提交作业。
    • 非安全集群。
    • 安全集群,集群版本大于 2.1.0,并且安装了MRS 2.1.0.1及以上版本的补丁。
  • 当MRS集群不支持委托方式提交作业时,如下节点相关作业不能配置委托。

    MRS相关的节点(MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce),以及通过API方式连接的(MRS Spark SQL、MRS Hive SQL)节点。

  • 配置服务级Admin权限

    因作业执行过程中,需要往OBS写执行日志信息,因此粗粒度授权时,所有作业都需要添加OBS OperateAccess权限。

表1 配置相关节点的admin权限

节点名称

系统权限

权限描述

CDM Job、DIS Stream、DIS Dump、DIS Client

DAYU Administrator

数据治理中心 服务的所有执行权限。

Import GES

GES Administrator

图引擎服务的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

  • MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce
  • MRS Spark SQL、MRS Hive SQL(通过MRS API方式连接MRS集群的)

MRS Administrator

MRS Fullaccess

KMS Administrator

MRS Administrator:RBAC策略下 MapReduce服务 的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

MRS Fullaccess:细粒度策略下MRS管理员权限,拥有该权限的用户可以拥有MRS所有权限。

KMS Administrator: 数据加密 服务加密密钥的管理员权限。

MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client(通过代理方式连接集群)

DAYU Administrator

KMS Administrator

Administrator: 数据治理 中心服务的所有执行权限。

KMS Administrator:数据加密服务加密密钥的管理员权限。

DLI Flink Job、DLI SQL、DLI Spark

DLI Service Admin

数据湖探索 的所有执行权限。

DWS SQL、Shell、RDS SQL(通过代理方式连接数据源)

DAYU Administrator

KMS Administrator

Administrator:数据治理中心服务的所有执行权限。

KMS Administrator:数据加密服务加密密钥的管理员权限。

CSS

DAYU Administrator

Elasticsearch Administrator

DAYU Administrator:数据治理中心服务的所有执行权限。

Elasticsearch Administrator: 云搜索服务 的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

Create OBS、Delete OBS、OBS Manager

OBS OperateAccess

查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

SMN

SMN Administrator

消息通知 服务的所有执行权限。

  • 配置细粒度权限(根据各服务支持的授权项,创建自定义策略)

    创建自定义策略的详细操作请参见创建自定义策略

  • 作业执行过程中,需要向OBS中写入执行日志。当采取精细化授权方式时,任何类型的作业均需要添加OBS的如下授权项:
    • obs:bucket:GetBucketLocation
    • obs:object:GetObject
    • obs:bucket:CreateBucket
    • obs:object:PutObject
    • obs:bucket:ListAllMyBuckets
    • obs:bucket:ListBucket
  • CDM Job、DIS Stream、DIS Dump、DIS Client节点隶属于DataArts Studio模块,DataArts Studio不支持细粒度授权。因此包含这几类节点的作业,给服务配置权限仅支持DataArts Studio Administarator。
  • CS S不支持细粒度授权,且需要通过代理执行。因此包含这类节点的作业,需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。
  • SMN不支持细粒度授权,因此包含这类节点的作业,需要配置SMN Administarator权限。
表2 自定义策略

节点名称

授权项

Import GES

  • ges:graph:access
  • ges:graph:getDetail
  • ges:jobs:getDetail
  • MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce
  • MRS Spark SQL、MRS Hive SQL(通过MRS API方式连接MRS集群的)
  • mrs:job:delete
  • mrs:job:stop
  • mrs:job:submit
  • mrs:cluster:get
  • mrs:cluster:list
  • mrs:job:get
  • mrs:job:list
  • kms:dek:crypto
  • kms:cmk:get

MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client(通过代理方式连接集群)

  • kms:dek:crypto
  • kms:cmk:get
  • DataArts Studio Administarator(角色)

DLI Flink Job、DLI SQL、DLI Spark

  • dli:jobs:get
  • dli:jobs:update
  • dli:jobs:create
  • dli:queue:submit_job
  • dli:jobs:list
  • dli:jobs:list_all

DWS SQL、Shell、RDS SQL(通过代理方式连接数据源)

  • kms:dek:crypto
  • kms:cmk:get
  • DataArts Studio Administarator(角色)

Create OBS、Delete OBS、OBS Manager

  • obs:bucket:GetBucketLocation
  • obs:bucket:ListBucketVersions
  • obs:object:GetObject
  • obs:bucket:CreateBucket
  • obs:bucket:DeleteBucket
  • obs:object:DeleteObject
  • obs:object:PutObject
  • obs:bucket:ListAllMyBuckets
  • obs:bucket:ListBucket
support.huaweicloud.com/usermanual-dataartsstudio/dataartsstudio_01_0555.html