检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建LakeFormation自定义IAM策略 如果系统预置的LakeFormation权限,不满足您的授权要求,可以创建自定义策略。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
对接后二次开发 用户可根据需要进行二次开发,当前提供以下样例: 自定义认证信息获取类:用于获取访问LakeFormation服务的IAM认证信息。 自定义用户信息获取类:用于获取当前访问LakeFormation的用户。 自定义认证信息获取类 认证信息获取类(IdentityGener
对接后二次开发 用户可根据需要进行二次开发,当前提供以下样例: 自定义认证信息获取类:用于获取访问LakeFormation服务的IAM认证信息。 自定义用户信息获取类:用于获取当前访问LakeFormation的用户。 自定义认证信息获取类 认证信息获取类(IdentityGener
云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service Control
g下其他数据库(除default外)路径的父路径、子路径或相同路径。 创建数据库的存储位置必须在所属Catalog的存储位置之下。 用户自定义创建的Catalog对象及其子元数据对象,暂不支持授权和细粒度权限控制。 LakeFormation数据权限单次授权,授权主体不能超过20个,元数据对象不能超过10个。
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持
集成权限插件后,如果当前用户(通过自定义用户信息获取类指定)无对应元数据权限,在执行SQL时将抛出异常。 当前用户如果拥有IAM LakeFormation:policy:create权限,且当前用户(可通过自定义用户信息获取类指定)和认证信息(可通过自定义认证信息获取类指定)为统一用户,将跳过SQL鉴权。
及内部的数据库、表等元数据。 例如参考以下步骤,创建Catalog名称为“hive”(固定名称,不可自定义),并为该Catalog创建数据库“default”(固定名称,不可自定义),数据库内包含两个数据表“table_A”、“table_B”,并进行授权。 创建存储元数据的OBS路径
权限等操作。 函数(Function) 在SQL查询中使用函数对数据进行特定处理,包括内置函数和用户自定义函数UDF(User-Defined Functions)。 用户自定义函数分为以下几类: 普通的UDF,用于操作单个数据行,且产生一个数据行作为输出。 用户定义聚集函数UDAF(User-Defined
权限管理 创建用户并授权使用LakeFormation 创建LakeFormation自定义IAM策略 父主题: 准备工作
<value>LakeFormation实例ID</value> </property> <!--访问lakeformation IAM认证AK信息,可选参数,如果为自定义认证信息获取类可忽略--> <property> <name>lakeformation.authentication.access.key</name>
用NULL值替换原值。 UNMASKED 无 原样显示。 DATA_ONLY_SHOW_YEAR 无 仅显示日期字符串的年份部分。 CUSTOM 自定义 用户自定义脱敏规则。 如果需要取消授权,单击“操作”列中的“取消授权”,单击“确认”。 取消授权后则无法恢复,请谨慎操作。 如果需要修改行过滤
择。 该路径必须已在OBS中存在,如果为自定义路径将会导致迁移任务失败。 是否强制建表 勾选此项将会跳过建立内表时对OBS路径的限制。 元数据过滤策略 迁移过程中元数据的过滤策略。 按元数据类型 按自定义规则 过滤策略存储位置 迁移的自定义元数据过滤策略文件在OBS并行文件系统中的存储位置。
区域,可减少网络时延,提高访问速度。 xxx 计费模式 实例的计费模式。 按需收费 按需收费 项目 选择实例所属的项目。 xxx 名称 自定义LakeFormation实例名称。 lakeformation-test QPS 每秒最大请求数。如果“实例类型”为“共享型”,则无需配置该参数。
后,单击“确定”。 如果没有合适的虚拟私有云或子网,可以单击“前往VPC创建”。 表1 创建接入管理客户端参数 参数 说明 客户端名称 自定义接入客户端的名称。 虚拟私有云 待接入服务所在的虚拟私有云。 所属子网 待接入服务所在的子网。 单击“操作”列“查看详情”,打开详细信息页面。
元数据统一管理、元数据与文件目录联动授权、对接多计算引擎等功能。 准备操作 注册华为云帐号 授权用户使用LakeFormation 创建自定义IAM策略 管理LakeFormation实例 创建LakeFormation实例 删除LakeFormation实例 管理元数据 管理Catalog
待创建表的数据源格式,目前支持以下类型: Avro Json Xml Parquet Csv Orc Text Rc Sequence 自定义 如果选择为“自定义”需要根据实际需求配置“输入格式”、“输出格式”、“Serde name”、“SerializationLib”参数。 分隔符
计费模式 实例的计费模式。 按需收费:按照LakeFormation实例实际使用时长计费。 按需收费 项目 选择实例所属的项目。 xxx 名称 自定义LakeFormation实例名称。 lakeformation-test QPS 每秒最大请求数。如果“实例类型”为“共享型”,则无需配置该参数。
支持创建、修改、删除以及授权和查看权限等操作。 函数(Function) 在SQL查询中使用函数对数据进行特定处理,包括内置函数和用户自定义函数UDF。 分区(Partition) 分区是对数据表按照行维度进行分割,目的是为了在特定SQL操作中减少数据读写的总量以缩减响应时间。
足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,LakeFormation的自定义IAM策略操作可参考创建LakeFormation自定义IAM策略。 表1 LakeFormation系统策略 系统角色/策略名称 描述 类别 依赖关系 LakeFormation
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
