DLI权限管理概述
DLI服务本身的权限管理功能主要适用于DLI内部资源的权限控制,而非依赖于IAM的统一身份认证管理。
DLI服务是区域项目级服务,所以DLI的授权是基于区域项目级的。
|
类型 |
说明 |
|---|---|
|
发起授权操作的用户 |
发起授权操作的用户通常是具有管理权限的管理员或授权者。他们负责决定哪些权限可以被授予,并将这些权限分配给IAM用户。 发起授权操作的用户需要具备足够的授权权限以确保授权行为的实施。 |
|
授权的主体 |
权限授予的主体是指被授予权限的对象,可以是用户或项目。授权的主体在DLI系统中经过明确的授权后,能够对特定DLI的资源进行操作。 |
|
资源 |
资源是指被授权访问的DLI资源,包括弹性资源池、队列、数据目录、数据库、表、作业等。 这些资源是用户在DLI环境中可以操作的对象。 |
|
操作 |
操作是指用户或角色对主体资源可以执行的具体行为。 操作与主体类型密切相关,不同主体类型所支持的操作各不相同。例如,对于表资源,支持的操作包括读取、写入、查询等。 |
DLI根据权限对象的不同,授权的类型可以分为用户授权、跨项目授权与跨租户项目授权三类。
- 用户授权:基于同账号内IAM用户的管理,实现用户权限精准分配。
- 跨项目授权:同一个账号、同一个区域项目下的子项目之间的资源共享,提升资源利用率。
- 跨租户项目授权:同一个区域项目下实现不同账号间资源协作。
这些授权类型通过对授权的主体、资源、操作的精细化配置,满足多样化业务场景需求,确保数据访问与操作安全合规。
表2介绍DLI用户授权、跨项目授权和跨租户项目授权的适用范围和资源类型。
DLI权限授权的类型
|
类型 |
说明 |
|---|---|
|
用户授权 |
DLI服务中,主账号负责管理该账号下所有用户的权限,且可以通过IAM(统一身份认证服务)创建用户,并根据用户的工作职能和业务需求,授予其相应的角色或策略,从而实现对用户权限的精细化管理。 例如,对于开发人员,可以授予其使用DLI资源但不允许删除DLI资源的权限,确保在资源安全范围内使用DLI服务。 |
|
跨项目授权 |
跨项目授权允许将一个项目(如项目A)下的资源授权给其他项目(如项目B),以实现资源共享。跨项目授权是同一个账号、同一个区域项目下的子项目之间的资源共享。 支持跨项目授权的资源类型包括:
通过跨项目授权,子项目(如项目A_1)可以使用父项目(如项目A)的资源,从而提高资源的利用率并满足业务需求。 |
|
跨租户项目授权(同一个区域项目下的授权) |
跨租户项目授权是指两个不同账号(如账号A和账号B)之间的资源共享。账号A可以将资源授权给账号B,但需要注意的是,这种授权必须在同一个项目下进行。 支持跨租户项目授权的资源类型包括:
通过跨租户项目授权,不同账号的用户可以在同一个项目中共享资源,从而实现更灵活地资源管理和协作。 |
