数据湖探索 DLI-DLI自定义策略:策略字段介绍

时间：2024-11-14 11:04:48

数据湖探索 DLI

策略字段介绍

以授权用户拥有在所有区域中所有数据库的创建表权限为例进行说明：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dli:database:createTable"
            ],
            "Resource": [
                "dli:*:*:database:*"
            ]
        }
    ]
}

Version
版本信息，1.1：策略。 IAM 最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。
Effect
作用。包含两类：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。
Action
授权项，指对资源的具体操作权限，不超过100个，如图1所示。

图1 DLI 授权项
- 格式为：服务名:资源类型:操作，例：dli:queue:submit_job。
- 服务名为产品名称，例如dli、evs和vpc等，服务名仅支持小写。资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。
- 资源类型可以参考表4中的资源类型。
- 操作：操作以IAM服务中已经注册的action为准。

Condition

限制条件：使策略生效的特定条件，包括条件键和运算符。

条件键表示策略语句的 Condition 元素中的键值，分为全局级条件键和服务级条件键。

全局级条件键（前缀为g:）适用于所有操作。详细请参考策略语法中的条件键说明。
服务级条件键，仅适用于对应服务的操作。

运算符与条件键一起使用，构成完整的条件判断语句。具体内容请参考表1。

DLI通过IAM预置了一组条件键。下表显示了适用于DLI服务特定的条件键。

表1 DLI请求条件
DLI条件键	类型	运算符	描述
g:CurrentTime	全局级	Date and time	接收到鉴权请求的时间。说明：以“ISO 8601”格式表示，例如：2012-11-11T23:59:59Z。
g:MFAPresent	全局级	Boolean	用户登录时是否使用了多因素认证。
g:UserId	全局级	String	当前登录的用户ID。
g:UserName	全局级	String	当前登录的用户名。
g:ProjectName	全局级	String	当前登录的Project。
g:DomainName	全局级	String	当前登录的Domain。
g:ResourceTag	全局级	StringEquals	资源标签键值。