数据湖探索 DLI-更新DLI委托权限:后续操作

时间:2024-08-13 19:03:39

后续操作

除dli_management_agency提供的委托权限外,例如允许 DLI 读写OBS将日志转储、允许DLI在访问DEW获取数据访问凭证场景的委托需求等,都需要用户自行在 IAM 页面创建相关委托,并在作业配置中添加新建的委托信息。具体操作请参考自定义DLI委托权限常见场景的委托权限策略

  • 使用Flink 1.15和Spark 3.3.1(Spark通用队列场景)及以上版本的引擎执行作业时,需自行在IAM页面创建相关委托。
  • 引擎版本低于Flink1.15,执行作业时默认使用dli_admin_agency;引擎版本低于Spark 3.3.1,执行作业时使用用户认证信息(AKSK、SecurityToken)。

    即引擎版本低于Flink1.15和Spark 3.3.1版本的作业不受更新委托权限的影响,无需自定义委托。

常见的需要自建委托的业务场景:

  • DLI表生命周期清理数据及Lakehouse表数据清理所需的数据清理委托。需用户自行在IAM创建名为dli_data_clean_agency的DLI云服务委托并授权。该委托需新建后自定义权限,但委托名称固定为dli_data_clean_agency。
  • DLI Flink作业访问和使用OBS、日志转储(包括桶授权)、开启checkpoint、作业导入导出等,需要获得访问和使用OBS( 对象存储服务 )的Tenant Administrator权限。
  • DLI Flink作业所需的AKSK存储在 数据加密 服务DEW中,如需允许DLI在执行作业时访问DEW数据,需要新建委托将DEW数据操作权限委托给DLI,允许DLI服务以您的身份访问DEW服务。
  • 允许DLI在执行作业时访问DLI Catalog元数据,需要新建委托将DLI Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问DLI Catalog元数据。
  • DLI Flink作业所需的云数据存储在LakeFormation中,如需允许DLI在执行作业时访问Catalog获取元数据,需要新建委托将Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问Catalog元数据。

新建委托时,请注意委托名称不可与系统默认委托重复,即不可以是dli_admin_agency、dli_management_agency、dli_data_clean_agency。

更多自定义委托的操作请参考自定义DLI委托权限常见场景的委托权限策略

support.huaweicloud.com/usermanual-dli/dli_01_0618.html