启用账号映射(高级特性)
在未启用细粒度认证及账号映射策略的情况下,当在DataArts Studio数据开发组件执行脚本以及测试运行作业时,数据源默认会使用数据连接上的账号进行认证鉴权。因此,即使已通过配置角色/权限集对用户进行权限管控,当用户在进行数据开发时,权限管控依然无法生效。
而在启用账号映射策略后,在DataArts Studio数据开发执行脚本以及测试运行作业时,数据源将不再使用数据连接上的账号,而是将当前用户身份映射成MRS系统账号或ldap账号后进行认证鉴权,从而做到实现不同用户具有不同的数据权限。
- 细粒度认证功能与账号映射功能在使用场景上较为相似,不可同时配置,二者在各维度对比差异如细粒度认证与账号映射功能差异所示。在实际使用中,建议您根据您的需求选择其一进行配置。
- 在新版本模式下仅当使用企业版时,才支持账号映射功能。旧版本模式使用基础版及更高版本时即可支持。
前提条件
- 启用账号映射策略前,请确保已经为MRS系统账号或ldap账号配置了业务所需的数据权限,避免开启后因用户无数据权限导致业务中断。
约束与限制
- 当前开发态账号映射仅支持代理模式的MRS Hive、MRS SPARK,MRS Hetu、MRS Impala类型数据连接。当修改MRS Hive、MRS SPARK数据连接的连接方式时,例如将代理连接改成API直连,将会导致账号映射失效。
- 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时,才支持账号映射。
- 只有DAYU Administrator、Tenant Administrator或者数据安全管理员有权限创建账号映射策略,并配置账号映射。
- DAYU User用户修改账号映射策略时,仅支持修改自己账号的映射规则,不支持修改映射类型、默认访问身份等其他内容。
- 账号映射策略为DataArts Studio实例级别配置,各工作空间之间数据互通。因此一个集群的每种映射类型下只能创建一个账号映射策略。
- 在配置账号映射策略的映射列表时,不支持校验MRS系统账号或ldap账号是否存在以及密码是否正确,若配置错误的用户名密码,会导致账号映射失败。而对于默认访问身份的配置的账号密码,系统支持校验。
配置账号映射策略
账号映射策略可以分为三部分:一为基本信息配置;二为默认访问身份,对于未在集群账号映射中配置的IAM账号,会使用默认访问身份执行;三为集群账号映射,对不同IAM用户设置对应的映射账号。
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击左侧导航树中的,在权限应用页面,进入“账号映射”页签。
- 在页面,单击“新建”,创建账号映射策略。
图1 配置账号映射策略
- 新建账号映射策略配置请参考表1,参数配置完成单击“确定”即可。
表1 参数设置 参数名
参数设置
*策略名称
标识账号映射策略,实例下唯一。
建议名称中包含含义,避免无意义的描述,以便于快速识别所需账号映射策略。
*集群类型
无需选择,当前仅支持MRS集群。
*集群
选择对应的MRS集群。注意每个集群的每种映射类型下只能创建一个账号映射策略。
*映射类型
选择账号映射类型。注意每个集群的每种映射类型下只能创建一个账号映射策略。
- 系统账号映射:把当前IAM账号映射成MRS系统账号,默认展示。
- ldap账号映射:把当前IAM账号映射成ldap账号。系统会根据MRS Hive、MRS Impala类型数据连接中的ldap相关配置的开启情况,自动选择是否展示该类型。
系统账号映射
*默认访问身份
选择系统账号映射的默认映射账号类型。未配置账号映射的IAM账号将统一使用默认访问身份进行认证鉴权。
- 数据连接账号:使用连接中的MRS系统账号进行认证鉴权,不做映射。
- MRS系统账号:使用配置的默认MRS系统账号进行认证鉴权。
- 同名映射账号:使用当前IAM账号同名的MRS系统账号进行认证鉴权。
KMS密钥
通过KMS加解密认证信息,选择KMS中的任一默认密钥或自定义密钥即可。
用户名
选择“MRS系统账号”的默认访问身份时展示此选项。
配置为通用MRS系统账号,未配置账号映射的IAM账号将统一使用此
MRS系统账号进行认证鉴权。
注意系统不支持校验账号是否存在以及密码是否正确,若配置错误的用户名密码,会导致账号映射失败。
密码
FusionInsight Manager账号
当选择的MRS集群为安全集群,且选择“同名映射账号”的默认访问身份时展示此选项。- MRS Hive连接和MRS SPARK连接配置的FusionInsight账号需要拥有Manager User管理权限。
- MRS Hetu连接配置的FusionInsight账号需要添加hetuadmin用户组权限,且要求集群为MRS 3.3.0-LTS以上版本。
注意系统不支持校验账号是否存在以及密码是否正确,若配置错误的用户名密码,会导致账号映射失败。
密码
ldap账号映射
*默认访问身份
选择ldap账号映射的默认映射账号类型。未配置账号映射的IAM账号将统一使用默认访问身份进行认证鉴权。
- 数据连接账号:使用连接中的ldap账号进行认证鉴权,不做映射。
- ldap账号:使用配置的默认ldap账号进行认证鉴权。
KMS密钥
通过KMS加解密认证信息,选择KMS中的任一默认密钥或自定义密钥即可。
用户名
选择“ldap账号”的默认访问身份时展示此选项。
配置为通用ldap账号,未配置账号映射的IAM账号将统一使用此ldap账号进行认证鉴权。
注意系统不支持校验账号是否存在以及密码是否正确,若配置错误的用户名密码,会导致账号映射失败。
密码
配置集群账号映射
IAM用户
对单个IAM用户配置单独的账号映射规则。此处未配置的IAM账号将统一使用默认访问身份进行认证鉴权。
MRS系统用户/ldap账号
配置为单个IAM用户待映射的MRS系统用户或ldap账号及对应密码。
MRS系统用户密码/ldap密码
操作
可通过“删除”移除一条映射规则,通过“新增”添加一条映射规则。
DAYU User用户修改账号映射策略时,仅支持修改自己账号的映射规则。
图2 新建账号映射策略配置
启用账号映射
当成功配置账号映射策略后,需要在细粒度权限应用页签启用账号映射策略后,账号映射才能生效。
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击左侧导航树中的,在权限应用页面,进入“细粒度权限应用”页签。
- 在“细粒度权限应用”页面,为希望启用账号映射的数据连接,进行账号映射联通性测试。
账号映射联通性测试时,系统会按照账号映射策略将当前用户身份映射成MRS系统账号或ldap账号后再访问数据源,以确保账号访问正常。图3 账号映射联通性测试
- 账号映射联通性测试成功后,需要在细粒度认证状态处选择“开发态账号映射”,然后系统会自动根据数据连接的集群选择对应的账号映射策略,为对应连接开启账号映射。
图4 启用账号映射
细粒度认证与账号映射功能差异
|
差异项 |
细粒度认证 |
账号映射 |
|---|---|---|
|
支持数据连接 |
|
|
|
配置流程 |
测试联通性 > 启用细粒度认证 |
配置账号映射策略 > 测试账号映射联通性 > 启用账号映射 |
|
影响的操作 |
数据开发操作:
|
数据开发操作:
|
|
目标认证鉴权身份 |
以当前用户身份进行认证鉴权。
说明:
建议提前通过配置角色/权限集,对当前用户配置了业务所需的数据权限,避免开启后因用户无数据权限导致业务中断。 |
以当前用户身份,在映射策略列表进行匹配:
说明:
建议提前在MRS集群中,为MRS系统账号或ldap账号配置了业务所需的数据权限,避免开启后因用户无数据权限导致业务中断。 |
