配置DLI云服务委托权限
使用DLI服务前请先配置DLI云服务权限。
本节操作适用于以下场景:
- 首次使用DLI服务,请参考本节操作按需配置DLI云服务委托权限。
使用DLI的过程中需要与其他云服务协同工作,因此需要您将部分服务的操作权限委托给DLI服务,确保DLI具备基本使用的权限,让DLI服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
- 仍在使用DLI上一代委托dli_admin_agency,请参考本节操作更新DLI委托。
为了解决在满足实际业务使用的同时,避免委托权限过大的风险,DLI升级了系统委托,做到更细粒度的委托权限控制,将原有的dli_admin_agency升级为dli_management_agency,新的委托包含获取IAM用户信息、跨源操作、消息通知所需的权限。有效避免DLI相关联服务权限不受控制的问题。升级后的DLI委托灵活性更强,更适合中大型企业场景化定制委托的需求。
配置DLI云服务的委托权限后会在IAM委托页面生成dli_management_agency的委托。请勿删除系统默认创建的dli_management_agency委托,否则会导致委托包含的权限自动取消,系统将无法正常获取IAM用户相关信息、或影响访问跨源所需的网络资源、无法访问SMN服务发送通知消息。
约束限制
- 服务授权需要主账号或者用户组admin中的子账号进行操作。
- DLI服务授权需要区分项目,请在每个需要新委托的项目分别执行更新委托操作,即切换至对应项目后,再按照本节的操作更新委托权限。
更新DLI委托权限(dli_management_agency)
- 在DLI控制台左侧导航栏中单击“全局配置 > 服务授权”。
- 在委托设置页面,按需选择以下场景的权限。
委托说明如表1所示。
表1 dli_management_agency委托包含的权限 适用场景
委托名
权限说明
基础使用
IAM ReadOnlyAccess
DLI对未登录过DLI的用户进行授权时,需获取IAM用户相关信息。因此需要IAM ReadOnlyAccess权限。
IAM ReadOnlyAccess是全局权限,请务必勾选该权限,否则IAM ReadOnlyAccess权限将在所有区域失效,系统将无法正常获取IAM用户相关信息。
跨源场景
DLI Datasource Connections Agency Access
访问和使用VPC、子网、路由、对等连接的权限
运维场景
DLI Notification Agency Access
作业执行失败需要通过SMN发送通知消息的权限
dli_management_agency包含的三个权限中:示例1:在项目A配置DLI的基础使用、跨源场景、运维场景的权限和示例2:在项目B配置DLI的基础使用、跨源场景、运维场景的权限给出了同一个区域的不同项目更新DLI委托带来的委托权限差异。
- 单击选择dli_management_agency需要包含的权限,并单击“更新委托权限”。
图1 更新委托权限
- 查看并了解更新委托的提示信息,单击“确定”。完成DLI委托权限的更新。
- 更新委托权限后,系统将升级您的dli_admin_agency为dli_management_agency。
- 为兼容存量的作业委托权限需求,dli_admin_agency仍为您保留在IAM委托中。
- 请勿删除系统默认创建的委托。
后续操作
除dli_management_agency提供的委托权限外,一些场景需要用户自行在IAM页面创建相关委托,并在作业配置中添加新建的委托信息。例如允许DLI读写OBS将日志转储、允许DLI在访问DEW获取数据访问凭证场景的委托需求等,具体操作请参考创建DLI自定义委托权限和常见场景的委托权限策略。
- 使用Flink 1.15和Spark 3.3.1(Spark通用队列场景)及以上版本的引擎执行作业时,需自行在IAM页面创建相关委托。
- 引擎版本低于Flink1.15,执行作业时默认使用dli_admin_agency;引擎版本低于Spark 3.3.1,执行作业时使用用户认证信息(AKSK、SecurityToken)。
常见的需要自建委托的业务场景:
- DLI表生命周期清理数据及Lakehouse表数据清理所需的数据清理委托。需用户自行在IAM创建名为dli_data_clean_agency的DLI云服务委托并授权。该委托需新建后自定义权限,但委托名称固定为dli_data_clean_agency。
- DLI Flink作业访问和使用OBS、日志转储(包括桶授权)、开启checkpoint、作业导入导出等,需要获得访问和使用OBS(对象存储服务)的Tenant Administrator权限。
- DLI Flink作业所需的AKSK存储在数据加密服务DEW中,如需允许DLI在执行作业时访问DEW数据,需要新建委托将DEW数据操作权限委托给DLI,允许DLI服务以您的身份访问DEW服务。
- 允许DLI在执行作业时访问DLI Catalog元数据,需要新建委托将DLI Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问DLI Catalog元数据。
- DLI Flink作业所需的云数据存储在LakeFormation中,如需允许DLI在执行作业时访问Catalog获取元数据,需要新建委托将Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问Catalog元数据。
新建委托时,请注意委托名称不可与系统默认委托重复,即不可以是dli_admin_agency、dli_management_agency、dli_data_clean_agency。
更多自定义委托的操作请参考创建DLI自定义委托权限和常见场景的委托权限策略。
示例1:在项目A配置DLI的基础使用、跨源场景、运维场景的权限
- 操作说明:某DLI用户按系统的指引在华北-北京四的项目A将原有的dli_admin_agency升级为dli_management_agency:
- 在DLI管理控制台,切换至华北-北京四区域下的项目A,选择“全局配置 > 服务授权”。
- 勾选基础使用、跨源场景、运维场景的权限。
图2 华北-北京四的项目A更新委托权限示意图
- 单击“更新委托权限”。
- 权限说明:华北-北京四的项目A按上述操作步骤更新委托权限后,
- 由于IAM ReadOnlyAccess授权范围是全局服务资源,所以所有区域和项目均具备该权限。
- 而跨源场景的权限“DLI Datasource Connections Agency Access”和消息通知的权限“DLI Notification Agency Access”是区域级权限,所以仅在华北-北京四的项目A生效。
华北-北京四的项目A委托权限示例
华北-北京四的项目B委托权限示例
dli_management_agency
包含以下权限:
- IAM ReadOnlyAccess
- DLI Datasource Connections Agency Access
- DLI Notification Agency Access
dli_management_agency
包含以下权限:
- IAM ReadOnlyAccess
示例2:在项目B配置DLI的基础使用、跨源场景、运维场景的权限
操作说明:如需在华北-北京四的项目B授权跨源场景的权限和消息通知的权限,需按如下操作更新华北-北京四的项目B的委托权限。
- 在DLI管理控制台,切换至华北-北京四的项目B,选择“全局配置 > 服务授权”。
- 勾选基础使用、跨源场景、运维场景的权限。
项目B更新时请务必勾选IAM ReadOnlyAccess,因IAM ReadOnlyAccess授权范围是全局服务资源,如果取消勾选该权限后更新委托,则所有区域和项目的IAM ReadOnlyAccess都将失效。
图3 华北-北京四的项目B更新委托权限示意图
- 单击“更新委托权限”。
权限说明:
区域A委托权限示例 |
区域B委托权限示例 |
---|---|
dli_management_agency 包含以下权限:
|
dli_management_agency 包含以下权限:
|