计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
态势感知 SA
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

配置资源权限

更新时间:2024-08-29 GMT+08:00

本章主要介绍如何通过资源权限创建权限策略到Ranger组件,实现MRS资源权限控制,从而降低企业数据信息安全风险。

前提条件

  • 已在管理中心创建Ranger类型的数据连接,并确保已参考MRS Ranger数据连接参数说明填写正确的RangerAdmin业务IP和Ranger服务端口。
    说明:

    在管理中心测试Ranger数据连接时,不会校验Ranger业务IP和服务端口,即使填写错误也不会提示,因此建议进行人工检查。

  • 已开启对应MRS集群的Ranger鉴权功能,安全模式默认开启Ranger鉴权,普通模式默认关闭Ranger鉴权。详情请参考启用Ranger鉴权

约束与限制

  • 资源权限策略依赖于MRS集群的Ranger鉴权功能,当前仅支持对MRS资源进行权限控制。
  • 权限策略配置完成后1分钟左右生效。

支持访问控制的MRS组件及权限列表

通过Ranger可以对MRS集群(MRS集群版本为3.0.0及以上)中的组件进行集成,实现组件的细粒度访问权限控制。目前已经支持的组件及相关权限如表1所示。具体权限解释可参考MRS配置组件权限策略

表1 支持的组件及权限列表

组件名

权限说明

HDFS

HDFS文件的权限:

  • Read:读权限
  • Write:写权限
  • Excute:执行权限

Hive

Hive数据库、数据表、列的权限:

  • Select:查询权限
  • Update:更新权限
  • Create:创建权限
  • Drop:drop操作权限
  • Alter:alter操作权限
  • All:所有执行权限
  • Temporary UDF Admin:临时UDF管理权限

Yarn

Yarn队列权限:

  • submit-app:提交队列任务权限
  • admin-queue:管理队列任务权限

HBase

HBase列、列族的权限:

  • Read:读权限
  • Write:写权限
  • Create:创建权限
  • Admin:管理员权限

Kafka

Kafka的Topic权限:

  • Publish:生产权限
  • Consume:消费权限
  • Configure:topic扩容权限
  • Describe:查询权限
  • Create:创建主题权限
  • Delete:删除主题权限
  • Describe Configs:查询配置权限
  • Alter Configs:修改配置权限

Storm

Storm的Topology权限:

  • Submit Topology:提交拓扑
  • File Upload:上传文件
  • File DownLoad:下载文件
  • Kill Topology:删除拓扑
  • Rebalance:Rebalance权限
  • Activate:激活权限
  • Deactivate:去激活权限
  • Get Topology Conf:获取拓扑配置
  • Get Topology:获取拓扑
  • Get User Topology:获取用户拓扑
  • Get Topology Info:获取拓扑信息
  • Upload New Credential:上传新的凭证

创建HDFS权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图1 资源权限配置页面

  3. 单击待创建权限策略HDFS组件下“hacluster”的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图2 新建权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图3 配置权限策略
    表2 配置HDFS权限策略参数说明

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    资源路径

    访问权限控制的HDFS路径。

    递归

    开启表示资源路径为递归方式。关闭表示资源路径为非递归方式。默认开启。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Hive访问权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图4 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“访问”页签,单击“创建”,新建权限策略。

    图5 新建权限策略入口

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图6 配置Hive权限策略
    权限策略参数说明表:
    表3 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Hive脱敏权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图7 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“脱敏”页签,单击“创建”,新建权限策略。

    图8 新建权限策略界面

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图9 配置Hive权限策略界面
    表4 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    脱敏

    定义用户或用户组访问数据的脱敏方式。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 脱敏方式:按照该参数选定的值对Hive表中需要进行权限控制的列进行脱敏。

创建Hive行级过滤器权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图10 资源权限配置页面

  3. 单击待创建权限策略Hive组件的“配置” ,进入配置界面选择“行级过滤器”页签,单击“创建”,新建权限策略。

    图11 创建Hive行级过滤器权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图12 配置Hive权限策略参数
    表5 Hive权限策略参数说明表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据库

    必填项,此项表示需要进行权限控制的数据库,支持模糊搜索。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    行级过滤器

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 行级过滤器:根据字段内容进行过滤,格式一般为:属性=属性值。例如:state=1。

创建HBase权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图13 资源权限配置页面

  3. 单击待创建权限策略HBase组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图14 创建HBase权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图15 配置HBase权限策略
    表6 HBase权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    数据表

    必填项,此项表示需要进行权限控制的数据表,支持模糊搜索。

    必填项,此项表示需要进行权限控制的列,支持模糊搜索。

    列族

    必填项,此项表示HBase中Column Family,多列的集合。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Yarn权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图16 资源权限配置页面

  3. 单击待创建权限策略Yarn组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图17 新建Yarn权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,完成策略配置。

    图18 配置Yarn权限策略
    表7 Yarn权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    队列

    Yarn服务中的资源调度队列。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Kafka权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图19 资源权限配置页面

  3. 单击待创建权限策略Kafka组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图20 新建kafka权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图21 配置Kafka权限策略
    表8 Kafka权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    策略条件

    指定可访问Kafka主题的IP地址范围。

    Topic

    Kafka集群的消息主题。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 策略条件:指定可访问Kafka主题的IP地址范围。
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 策略条件:指定可访问Kafka主题的IP地址范围。
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

创建Storm权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的资源权限配置,进入资源权限配置页面。

    说明:

    如果报错“获取资源服务失败,由于[CDM返回为空:[404 NOT FOUND]]”,请在管理中心参考MRS Ranger数据连接参数说明,排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。

    图22 资源权限配置页面

  3. 单击待创建权限策略Storm组件的“配置” ,进入配置界面单击“创建”,新建权限策略。

    图23 新建Storm权限策略

  4. 在弹出的策略配置页配置相关参数,配置完成单击“确定”,策略配置完成。

    图24 配置Storm权限策略
    表9 Storm权限策略参数表

    参数名

    参数描述

    策略类型

    根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器,其中脱敏和行过滤器类型是Hive特有的。

    策略状态

    开启表示权限策略生效,关闭表示权限策略创建成功后不生效。默认开启。

    可覆盖

    开启可覆盖时,新创建的策略将覆盖当前策略(新策略生效而旧策略不生效)。默认开启。

    当用户需要创建一个临时访问策略时,“可覆盖”可以配合有效时间一起使用,那么即使临时访问策略超过有效期失效后,也不影响原有的权限策略继续生效。

    审计日志

    开启表示记录日志,日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。

    策略名称

    名称为必填项,只能包含英文字母、数字、下划线和中划线,且长度为1~50个字符,且输入不能为空。

    描述

    对策略的描述信息,长度限制在256个字符以内。

    Topology

    该参数表示Storm集群中的任务。

    有效时间

    用户通过设置开始时间和结束时间来控制策略的生效时间段,可配置多条。

    允许访问

    定义允许访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义允许访问的用户拥有的权限。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

    添加排除项

    允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。

    禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。

    拒绝所有其他访问

    勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问,其他用户均禁止访问。

    禁止访问

    不勾选“拒绝所有其他访问”时显示此配置,该配置定义禁止访问的用户和用户组。

    • 用户:MRS服务的用户。
    • 角色:MRS服务的角色。
    • 用户组:MRS服务的用户组。
    • 权限:定义用户禁止的权限类型。权限和用户允许同时为空值,或者同时不为空值。服务相关权限详情请参考表1
    • 委托用户:当勾选此项时,管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略,还可以基于原始策略创建子策略。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容