数据治理中心 DATAARTS STUDIO-配置资源权限:创建Yarn权限策略

时间:2024-12-04 08:59:45

创建Yarn权限策略

  1. DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[ CDM 返回为空:[404 NOT FOUND]]”,请在管理中心参考 MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图16 资源权限配置页面

  3. 单击待创建权限策略Yarn组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图17 新建Yarn权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,完成策略配置。

    图18 配置Yarn权限策略
    表7 Yarn权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    队列

    Yarn服务中的资源调度队列。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

support.huaweicloud.com/usermanual-dataartsstudio/dataartsstudio_01_1006.html