MRS权限验证
按照OBS分配和授权、MRS分配和授权完成MRS数据底座授权操作后,可按照本章节步骤对MRS库权限分配进行验证。
平台运营方权限隔离验证
平台运营方-运维人员的MRS FI安全认证管理员账号映射了OBS管理员权限,可以基于数据提供方接入数据创建开发、生产接入数据库。
- 平台运营方-运维人员使用安全认证管理员账号在DataArts Studio对应开发工作空间创建数据链接tianji_admin;
图1 平台运营方
- 新增数据提供方。平台运营方-开发人员登录DataArts Studio服务,进入“数据开发”功能模块,单击“新建Hive SQL脚本”。
在右上角配置相关数据链接和数据库信息。配置数据链接为步骤一中创建的tianji_admin;配置数据库为default。
创库语句示例:
CREATE DATABASE shnw_ods_dev LOCATION "obs://mrs-obs/obs_dev_tianji_mrs/p_op_dev_tianji/shnw_ods_dev";
图2 新增数据提供方
- 新增开发利用方。平台运营方-开发人员登录DataArts Studio服务,进入“数据开发”功能模块,单击“新建Hive SQL脚本”。
在右上角配置相关数据链接和数据库信息。配置数据链接为步骤一中创建的tianji_admin;配置数据库为default。
创库语句示例:
CREATE DATABASE shdg_phjr_hive_dev LOCATION "obs://mrs-obs/obs_dev_tianji_mrs/d_op_dev_tianji/shdg_phjr_hive_dev";
图3 新增开发利用方
开发利用方权限隔离验证
- 开发利用方(MRS账号:datagroup_dev_admin)在DataArts Studio对应开发工作空间创建数据链接datagroup_phjr_hive_link。
- 使用开发利用方-开发人员账号登录DataArts Studio服务,进入“数据开发”功能模块,单击“新建Hive SQL脚本”。
- 验证开发利用方人员在本场景下对生产融合库的所有权。
在右上角配置相关数据链接和数据库信息。配置数据链接为步骤一中创建的datagroup_phjr_hive_link;配置数据库为shdg_phjr_hive_dev。
验证结果
开发利用方人员可以在已被授予所有权的数据库中进行建表/读写等操作。
图4 具有CREATE权限
图5 具有ALTER权限
- 验证开发利用方人员拥有公共接入库的只读权限。
在右上角配置相关数据链接和数据库信息。配置数据链接为步骤一中创建的datagroup_phjr_hive_link;配置数据库为shdg_dwd_dev。
验证结果
开发利用方人员具备已经分配给该开发利用方公共库的只读权限,可以进行读操作,不可进行写、删除等操作;
图6 具有SELECT权限
图7 不具有ALTER权限
图8 不具有DELETE权限
- 验证开发利用方人员对其他未被授权的MRS库不可访问。
在右上角配置相关数据链接和数据库信息。配置数据链接为步骤一中创建的datagroup_phjr_hive_link;配置数据库为shnw_test_b。
报错信息:user [datagroup_dev_admin] does not have [USE] privilege on [shnw_test_b/test]
图9 报错信息