文档首页> 数据治理中心 DataArts Studio> 用户指南> 数据安全组件> 统一权限治理> 配置资源权限
更新时间:2024-04-03 GMT+08:00
查看PDF

配置资源权限

本章主要介绍如何通过资源权限创建权限策略到Ranger组件,实现MRS资源权限控制,从而降低企业数据信息安全风险。

当前支持创建的权限策略如下:

前提条件

  • 已在管理中心创建Ranger类型的数据连接,并确保已参考配置MRS Ranger数据连接填写正确的RangerAdmin业务IP和Ranger服务端口。

    在管理中心测试Ranger数据连接时,不会校验Ranger业务IP和服务端口,即使填写错误也不会提示,因此建议进行人工检查。

  • 已开启对应MRS集群的Ranger鉴权功能,安全模式默认开启Ranger鉴权,普通模式默认关闭Ranger鉴权。详情请参考启用Ranger鉴权

约束与限制

  • 资源权限策略依赖于MRS集群的Ranger鉴权功能,当前仅支持对MRS资源进行权限控制。
  • 权限策略配置完成后1分钟左右生效。

支持访问控制的MRS组件及权限列表

通过Ranger可以对MRS集群(MRS集群版本为3.0.0及以上)中的组件进行集成,实现组件的细粒度访问权限控制。目前已经支持的组件及相关权限如表1所示。具体权限解释可参考MRS配置组件权限策略

表1 支持的组件及权限列表

组件名

权限说明

HDFS

HDFS文件的权限:

  • Read:读权限
  • Write:写权限
  • Excute:执行权限

Hive

Hive数据库、数据表、列的权限:

  • Select:查询权限
  • Update:更新权限
  • Create:创建权限
  • Drop:drop操作权限
  • Alter:alter操作权限
  • All:所有执行权限
  • Temporary UDF Admin:临时UDF管理权限

Yarn

Yarn队列权限:

  • submit-app:提交队列任务权限
  • admin-queue:管理队列任务权限

HBase

HBase列、列族的权限:

  • Read:读权限
  • Write:写权限
  • Create:创建权限
  • Admin:管理员权限

Kafka

Kafka的Topic权限:

  • Publish:生产权限
  • Consume:消费权限
  • Configure:topic扩容权限
  • Describe:查询权限
  • Create:创建主题权限
  • Delete:删除主题权限
  • Describe Configs:查询配置权限
  • Alter Configs:修改配置权限

Storm

Storm的Topology权限:

  • Submit Topology:提交拓扑
  • File Upload:上传文件
  • File DownLoad:下载文件
  • Kill Topology:删除拓扑
  • Rebalance:Rebalance权限
  • Activate:激活权限
  • Deactivate:去激活权限
  • Get Topology Conf:获取拓扑配置
  • Get Topology:获取拓扑
  • Get User Topology:获取用户拓扑
  • Get Topology Info:获取拓扑信息
  • Upload New Credential:上传新的凭证

创建HDFS权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图1 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图2 资源权限配置页面

  3. 单击待创建权限策略HDFS组件下“hacluster”的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图3 新建权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图4 配置权限策略
    表2 配置HDFS权限策略参数说明

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    资源路径

    访问权限控制的HDFS路径。

    递归

    开启表示资源路径为递归方式。关闭表示资源路径为非递归方式。默认开启。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Hive访问权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图5 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图6 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“访问”页签,单击“创建”,新建权限策略。

    图7 新建权限策略入口

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图8 配置Hive权限策略
    权限策略参数说明表:
    表3 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Hive脱敏权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图9 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图10 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“脱敏”页签,单击“创建”,新建权限策略。

    图11 新建权限策略界面

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图12 配置Hive权限策略界面
    表4 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    脱敏

    定义用户或用户组访问数据的脱敏方式。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 脱敏方式:按照该参数选定的指对Hive表中需要进行权限控制的列进行脱敏。

创建Hive行级过滤器权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图13 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图14 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“行级过滤器”页签,单击“创建”,新建权限策略。

    图15 创建Hive行级过滤器权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图16 配置Hive权限策略参数
    表5 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    行级过滤器

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 行级过滤器:根据字段内容进行过滤,格式一般为:属性=属性值。例如:state=1。

创建HBase权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图17 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图18 资源权限配置页面

  3. 单击待创建权限策略HBase组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图19 创建HBase权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图20 配置HBase权限策略
    表6 HBase权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    列族

    必填项,此项表示HBase中Column Family,多列的集合。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Yarn权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图21 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图22 资源权限配置页面

  3. 单击待创建权限策略Yarn组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图23 新建Yarn权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,完成策略配置。

    图24 配置Yarn权限策略
    表7 Yarn权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    队列

    Yarn服务中的资源调度队列。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Kafka权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图25 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图26 资源权限配置页面

  3. 单击待创建权限策略Kafka组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图27 新建kafka权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图28 配置Kafka权限策略
    表8 Kafka权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    策略条件

    指定可访问Kafka主题的IP地址范围。

    Topic

    Kafka集群的消息主题。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 策略条件:指定可访问Kafka主题的IP地址范围。
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 策略条件:指定可访问Kafka主题的IP地址范围。
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Storm权限策略

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图29 选择数据安全

  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考配置MRS Ranger数据连接,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图30 资源权限配置页面

  3. 单击待创建权限策略Storm组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图31 新建Storm权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图32 配置Storm权限策略
    表9 Storm权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    Topology

    该参数表示Storm集群中的任务。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

父主题: 统一权限治理