数据治理中心 DATAARTS STUDIO-最小化权限授权实践:实践场景及目标

时间:2024-12-04 14:09:34

实践场景及目标

某数据运营工程师专职负责数据质量监控相关工作,仅需要服务数据质量组件的操作权限。

图1 权限体系

服务的权限体系如图1所示。如果项目管理员直接赋予该数据运营工程师 IAM 账号“DAYU User系统角色+工作空间开发者角色”权限,则会出现如下非必需权限过大的风险:

  1. 依赖服务权限过大:服务作为平台型服务,DAYU User系统角色预置了依赖服务(如 MRS 、DWS等相关服务)的管理员权限。当为数据运营工程师IAM账号授予DAYU User系统角色后,会导致其拥有依赖服务的管理员权限。
  2. 服务其他组件操作权限不受控制:工作空间开发者角色默认具备该工作空间内所有组件的操作权限。当为数据运营工程师IAM账号授权工作空间开发者角色后,会导致其拥有数据质量组件之外的其他组件操作权限。

为了解决此问题,项目管理员可以按照如下解决方案进行权限最小化配置,这样既能满足实际业务使用,也避免了权限过大的风险。

  1. 为数据运营工程师IAM账号授予DAYU User系统角色权限,然后删除IAM账号中的依赖服务权限,再赋予依赖服务的最小权限合集。
  2. 在服务内,创建一个仅保留数据质量组件操作权限的自定义角色“Developer_DQC”,然后将数据运营工程师IAM账号添加为工作空间成员并赋予此角色。
support.huaweicloud.com/bestpractice-dataartsstudio/dataartsstudio_05_0416.html