权限迁移

操作场景

在完成元数据迁移后，可以将对应元数据的权限迁移至LakeFormation，迁移成功后为元数据绑定的默认Owner将会拥有元数据的操作权限。

前提条件

• 已参考元数据迁移完成元数据迁移。
• 当前用户具有OBS相关操作权限，且已创建用于存储数据的OBS并行文件系统。
• 已将待迁移的权限策略文件导出，并上传至OBS并行文件系统中。权限导出操作可联系对应服务支持人员。
• 权限策略中授权主体（除角色外）需要提前创建，且名称需保持一致；权限策略中包含的元数据已存在，且名称一致。
  如果迁移类型为DLF，其对应关系及迁移策略如下：

  • RAM用户：IAM用户（如果对应的IAM用户不存在，该权限策略不进行迁移）
  • RAM角色：IAM用户组（如果对应的IAM用户组不存在，该权限策略不进行迁移）
  • DLF角色：LakeFormation角色（不存在会自动创建）
• 如果迁移类型为Ranger，则仅支持Ranger的allow权限迁移，不支持deny权限迁移。

操作步骤

1. 登录管理控制台。
2. 在左上角单击“”，选择“大数据 > 湖仓构建 LakeFormation”进入LakeFormation控制台。
3. 在左侧下拉框中选择待操作的LakeFormation实例，在左侧导航栏选择“任务管理 > 权限迁移”。
4. 单击“创建迁移任务”，配置相关参数后，单击“提交”。

   

   表1 创建权限迁移任务

   参数	参数说明
   任务名称	填写待创建权限迁移任务名称。
   描述	所创建迁移任务的描述信息。
   权限策略类型	选择待迁移权限策略类型。 DLF：第三方数据湖构建（Data Lake Formation，DLF）权限策略 RANGER：MRS集群中Ranger权限策略
   权限策略文件存储位置	待迁移的权限策略文件在OBS并行文件系统中的存储位置。
   权限策略文件名	待迁移权限策略的文件名称。
   日志存储位置	运行迁移任务时，产生的日志存储位置。
   Catalog ID	填写权限来源的Catalog名称。“权限策略类型”选择“DLF”时配置该参数。
   Ranger授权主体转换关系	手动指定对应的Ranger权限策略的授权主体的转换关系，前、后缀值会为最终授权主体名称添加对应的前缀、后缀。 “权限策略类型”选择“RANGER”时配置该参数。 需要分别配置“用户转换对象”、“用户组转换对象”、“角色转换对象”，及其“前缀”和“后缀”。建议Ranger中的非IAM用户、非IAM用户组授权主体转换为角色。
   事件通知策略 （当前该功能为公测阶段）	（可选）配置该选项后，发生特定事件（例如任务成功、任务失败等）后会发送通知（短信、邮件等）。 事件通知开关：开启后表示启用事件通知。 事件通知主题：选择需要通知的主题，可以在管理控制台选择“消息通知服务 SMN”进行配置。 事件：需要通知的主题状态，可选择“任务成功”、“任务失败”。

5. 创建完成后，单击“操作”列的“运行”即可运行当前迁移任务。

   单击“查看日志”可以查看任务运行产生的日志。

   

   • 在运行迁移任务前，需要已对用户进行任务授权，详情请参考任务授权。
   • 如果任务运行失败，在修复故障后可再次单击“操作”列的“运行”进行重试。

   单击操作列的“编辑”或“删除”，可以修改或者删除当前任务。

   迁移任务成功以后，可以在“数据权限 > 数据授权”页面查看成功迁移的LakeFormation权限策略。