更新时间:2024-11-07 GMT+08:00

权限迁移

操作场景

在完成元数据迁移后,可以将对应元数据的权限迁移至LakeFormation,迁移成功后为元数据绑定的默认Owner将会拥有元数据的操作权限。

前提条件

  • 已参考元数据迁移完成元数据迁移。
  • 当前用户具有OBS相关操作权限,且已创建用于存储数据的OBS并行文件系统。
  • 需将待迁移的权限策略文件导出,并上传至OBS并行文件系统中。权限导出操作可联系对应服务支持人员。
  • 权限策略中授权主体(除角色外)需要提前创建,且名称需保持一致;权限策略中包含的元数据已存在,且名称一致。
    如果迁移类型为DLF,其对应关系及迁移策略如下:
    • RAM用户:IAM用户(如果对应的IAM用户不存在,该权限策略不进行迁移)
    • RAM角色:IAM用户组(如果对应的IAM用户组不存在,该权限策略不进行迁移)
    • DLF角色:LakeFormation角色(不存在会自动创建)
  • 如果迁移类型为Ranger,则仅支持Ranger的allow权限迁移,不支持deny权限迁移。

操作步骤

  1. 登录管理控制台。
  2. 在左上角单击“”,选择“大数据 > 湖仓构建 LakeFormation”进入LakeFormation控制台。
  3. 在左侧下拉框中选择待操作的LakeFormation实例,在左侧导航栏选择“任务管理 > 权限迁移”。
  4. 单击“创建迁移任务”,配置相关参数后,单击“提交”。

    表1 创建权限迁移任务

    参数

    参数说明

    任务名称

    填写待创建权限迁移任务名称。

    描述

    所创建迁移任务的描述信息。

    权限策略类型

    选择待迁移权限策略类型。

    • DLF:第三方数据湖构建(Data Lake Formation,DLF)权限策略
    • RANGER:MRS集群中Ranger权限策略

    日志存储位置

    运行迁移任务时,产生的日志存储位置。

    权限策略文件存储位置

    待迁移的权限策略文件在OBS并行文件系统中的存储位置。

    权限策略文件名

    待迁移权限策略的文件名称。

    Catalog ID

    填写权限来源的Catalog名称。

    “权限策略类型”选择“DLF”时配置该参数。

    授权主体转换关系

    手动指定对应的权限策略的授权主体的转换关系,前、后缀值会为最终授权主体名称添加对应的前缀、后缀。

    需要分别配置“用户转换对象”、“用户组转换对象”、“角色转换对象”,及其“前缀”和“后缀”。建议非IAM用户、非IAM用户组授权主体转换为角色。

    “权限策略类型”为“DLF”时无需配置该参数。

    事件通知策略

    (当前该功能为公测阶段)

    (可选)配置该选项后,发生特定事件(例如任务成功、任务失败等)后会发送通知(短信、邮件等)。

    • 事件通知开关:开启后表示启用事件通知。
    • 事件通知主题:选择需要通知的主题,可以在管理控制台选择“消息通知服务 SMN”进行配置。
    • 事件:需要通知的主题状态,可选择“任务成功”、“任务失败”。

  5. 创建完成后,单击“操作”列的“运行”即可运行当前迁移任务。

    单击“查看日志”可以查看任务运行产生的日志。

    • 在运行迁移任务前,需要已对用户进行任务授权,详情请参考任务授权
    • 如果任务运行失败,在修复故障后可再次单击“操作”列的“运行”进行重试。

    单击操作列的“编辑”或“删除”,可以修改或者删除当前任务。

    迁移任务成功以后,可以在“数据权限 > 数据授权”页面查看成功迁移的LakeFormation权限策略。