检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
DLF、 MRS_RDS_FOR_MYSQL代表MRS云数据库RDS(for MySQL)、 OPEN_FOR_MYSQL代表开源HiveMetastore(for MySQL)、 MRS_RDS_FOR_PG代表MRS云数据库RDS(for PostgreSQL)、 MRS_LO
元数据基本概念 管理元数据 数据权限授权 用户可以在管理控制台的LakeFormation实例界面,针对该实例下的所有Catalog、Database、Table等数据资源,授予用户组等主体细粒度的数据访问权限。 权限策略包含授权主体、授权对象、权限、授权权限,支持取消本条权限策略的操作。
准备LakeFormation实例 如果您是第一次使用LakeFormation,请参考准备工作章节,完成账号注册及授权等操作。 创建实例相关步骤请参考创建LakeFormation实例章节。 已创建待操作华为云账号的访问密钥AK/SK信息。具体操作请参考获取AK/SK章节。 父主题:
00010052 用户当前未向LakeFormation服务授权。 请同意LakeFormation服务授权。 400 00010053 当前租户还拥有实例,无法取消授权。 请将本租户拥有的实例全部删除后(包括回收站中的实例),再取消授权。 400 00010054 共享型集群的元数据类型不能为HiveMetaStore。
的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 LakeFormation授权时,在全局级服务中设置权限,不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒
系统的文件目录。 数据库(Database) LakeFormation实例的数据目录(Catalog)的下级资源,即在一个Catalog下可以创建多个Database,包含名称、所属Catalog、拥有者、位置、描述等信息,支持创建、修改、删除以及授权和查看权限等操作。 其中位
WebUI界面为MRS集群内的用户或用户组绑定该角色,具体操作请参考通过Ranger为MRS集群内用户绑定LakeFormation角色。 如果需要为已创建的角色授权,可参考新增授权章节进行操作。 父主题: 管理数据权限
MRS对接LakeFormation后,权限策略约束限制: 通过LakeFormation授权仅支持将LakeFormation角色作为授权主体,不支持IAM用户或IAM用户组作为授权主体。 PolicySync进程不会修改集群内RangerAdmin Hive模块的默认策略,默认策略仍然生效。
本文指导用户通过调用API的方式,介绍外部服务对接LakeFormation的完整流程。 本流程假设终端租户已经在Console界面完成LakeFormation的服务授权。API的调用方法请参见如何调用API。 前提条件 已获取以下信息: endpoint:通过地区和终端节点查询服务的终端节点获取。 project_id:参考获取项目ID获取。
数据库存储路径:lakeformation-test/catalog1/database1 数据表存储路径:lakeformation-test/catalog1/database1/table1、lakeformation-test/catalog1/database1/table2 函数存储路径:lakef
删除LakeFormation实例 管理元数据 管理Catalog 管理数据库 管理数据表 管理函数 数据权限授权 数据权限授权简介 新增授权 取消授权 查询授权 角色授权 创建接入管理客户端 接入管理 管理数据迁移 元数据迁移 权限迁移 常见问题 了解更多常见问题、案例和解决方案
管理数据权限 数据权限概述 新增授权 取消授权 查询授权 管理角色
分区列统计信息等接口。 通过这些接口,您可以获取分区列统计信息、删除分区列统计信息等。 授权管理 授权管理接口,包括查询授权策略、批量授权等接口。 通过这些接口,您可以查询授权策略、批量授权等。 用户组管理 用户组管理接口,包括获取租户的用户组等接口。 通过这些接口,您可以获取租户的用户组等。
数据权限管理提供权限策略的配置和对应的权限访问控制。 授权主体支持IAM用户和用户组以及LakeFormation角色。 授权对象支持Catalog、数据库、表及列、函数等元数据对象,也支持OBS并行文件系统路径。 授权操作包含元数据对象的相关操作,以及OBS路径的读写操作。
Location 向LakeFormation服务授权OBS路径 查询已授权给LakeFormation服务的obs路径列表 从LakeFormation服务中批量取消授权OBS路径 父主题: Console
创建LakeFormation实例 湖仓构建 LakeFormation 创建LakeFormation元数据并授权 06:36 创建LakeFormation元数据并授权
“权限策略类型”选择“DLF”时配置该参数。 授权主体转换关系 手动指定对应的权限策略的授权主体的转换关系,前、后缀值会为最终授权主体名称添加对应的前缀、后缀。 需要分别配置“用户转换对象”、“用户组转换对象”、“角色转换对象”,及其“前缀”和“后缀”。建议非IAM用户、非IAM用户组授权主体转换为角色。
修改Catalog Catalog alterCatalog 创建数据库 Database createDatabase 删除数据库 Database dropDatabase 修改数据库 Database alterDatabase 创建数据表 Table createTable
创建数据库的存储位置必须在所属Catalog的存储位置之下。 用户自定义创建的Catalog对象及其子元数据对象,暂不支持授权和细粒度权限控制。 LakeFormation数据权限单次授权,授权主体不能超过20个,元数据对象不能超过10个。 LakeFormation中,总分区数量不超过1,000
限)来控制用户对于表的创建权限,同时使用“细粒度”LakeFormation权限“CREATE_TABLE”来控制用户是否能够在某个Database下创建一个Table元数据。 “细粒度”的LakeFormation权限:指使用LakeFormation权限,向各个主体(包括用户
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
