数据治理中心 DATAARTS STUDIO-配置调度身份:参考:配置委托权限
参考:配置委托权限
将账号的操作权限委托给 DataArts Studio 服务后,需要配置委托身份的权限,才可与其他服务进行交互。
为实现对权限较小化的安全管控要求,可根据作业中的节点类型,以服务为粒度,参见表1配置相应的服务Admin权限。
也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型,以对应服务API接口为粒度进行权限拆分,满足企业对权限最小化的安全管控要求。参见表2进行配置。例如包含Import GES节点的作业,您只需要创建自定义策略,并勾选ges:graph:getDetail(查看图详情),ges:jobs:getDetail(查询任务状态),ges:graph:access(使用图)这三个授权项即可。
- 当满足如下条件之一时, MRS 集群才支持委托方式提交作业。
- 非安全集群。
- 安全集群,集群版本大于 2.1.0,并且安装了MRS 2.1.0.1及以上版本的补丁。
- 当MRS集群不支持委托方式提交作业时,如下节点相关作业不能配置委托。
MRS相关的节点(MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce),以及通过API方式连接的(MRS Spark SQL、MRS Hive SQL)节点。
节点名称 |
系统权限 |
权限描述 |
---|---|---|
CDM Job、DIS Stream、DIS Dump、DIS Client |
DAYU Administrator |
数据治理中心 服务的所有执行权限。 |
Import GES |
GES Administrator |
图引擎服务的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
MRS Administrator MRS Fullaccess KMS Administrator |
MRS Administrator:RBAC策略下 MapReduce服务 的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 MRS Fullaccess:细粒度策略下MRS管理员权限,拥有该权限的用户可以拥有MRS所有权限。 KMS Administrator: 数据加密 服务加密密钥的管理员权限。 |
MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client(通过代理方式连接集群) |
DAYU Administrator KMS Administrator |
Administrator: 数据治理 中心服务的所有执行权限。 KMS Administrator:数据加密服务加密密钥的管理员权限。 |
DLI Flink Job、DLI SQL、DLI Spark |
DLI Service Admin |
数据湖探索 的所有执行权限。 |
DWS SQL、Shell、RDS SQL(通过代理方式连接数据源) |
DAYU Administrator KMS Administrator |
Administrator:数据治理中心服务的所有执行权限。 KMS Administrator:数据加密服务加密密钥的管理员权限。 |
DAYU Administrator Elasticsearch Administrator |
DAYU Administrator:数据治理中心服务的所有执行权限。 Elasticsearch Administrator: 云搜索服务 的所有执行权限。该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
Create OBS、Delete OBS、OBS Manager |
OBS OperateAccess |
查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 |
SMN Administrator |
消息通知 服务的所有执行权限。 |
- 配置细粒度权限(根据各服务支持的授权项,创建自定义策略)
创建自定义策略的详细操作请参见创建自定义策略。
- 作业执行过程中,需要向OBS中写入执行日志。当采取精细化授权方式时,任何类型的作业均需要添加OBS的如下授权项:
- obs:bucket:GetBucketLocation
- obs:object:GetObject
- obs:bucket:CreateBucket
- obs:object:PutObject
- obs:bucket:ListAllMyBuckets
- obs:bucket:ListBucket
- CDM Job、DIS Stream、DIS Dump、DIS Client节点隶属于DataArts Studio模块,DataArts Studio不支持细粒度授权。因此包含这几类节点的作业,给服务配置权限仅支持DataArts Studio Administarator。
- CS S不支持细粒度授权,且需要通过代理执行。因此包含这类节点的作业,需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。
- SMN不支持细粒度授权,因此包含这类节点的作业,需要配置SMN Administarator权限。
节点名称 |
授权项 |
---|---|
Import GES |
|
|
|
MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client(通过代理方式连接集群) |
|
DLI Flink Job、DLI SQL、DLI Spark |
|
DWS SQL、Shell、RDS SQL(通过代理方式连接数据源) |
|
Create OBS、Delete OBS、OBS Manager |
|