数据治理中心 DATAARTS STUDIO-配置资源权限:创建Yarn权限策略
创建Yarn权限策略
- 在 DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击左侧导航树中的
,进入资源权限配置页面。图16 资源权限配置页面
- 单击待创建权限策略Yarn组件的“配置” ,进入配置界面单击“创建”,新建权限策略。
图17 新建Yarn权限策略
- 在弹出的策略配置页配置相关参数,配置完成单击“确定”,完成策略配置。
图18 配置Yarn权限策略
表7 Yarn权限策略参数表 参数名
参数描述
策略类型
根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。
策略状态
开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。
可覆盖
开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。
当用户需要创建一个临时访问策略时,“可覆盖”可以配合 一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。
审计日志
开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。
策略名称
名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。
描述
对策略的描述信息,长度限制在256个字符以内。
队列
Yarn服务中的资源调度队列。
有效时间
用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。
允许访问
定义允许访问的用户和用户组。
- 用户:MRS服务的用户。
- 角色:MRS服务的角色。
- 用户组:MRS服务的用户组。
- 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1。
- 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。
添加排除项
允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。
禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。
拒绝所有其他访问
勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。
禁止访问
不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。
- 用户:MRS服务的用户。
- 角色:MRS服务的角色。
- 用户组:MRS服务的用户组。
- 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1。
- 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。