更新时间:2025-07-17 GMT+08:00
迁移元数据权限至LakeFormation
操作场景
在完成元数据迁移后,可以将对应元数据的权限迁移至LakeFormation,迁移成功后为元数据绑定的默认Owner将会拥有元数据的操作权限。
前提条件
- 已参考迁移元数据至LakeFormation完成元数据迁移。
- 当前用户具有OBS相关操作权限,且已创建用于存储数据的OBS并行文件系统。
- 需将待迁移的权限策略文件导出,并上传至OBS并行文件系统中。权限导出操作可联系对应服务支持人员。
- 权限策略中授权主体(除角色外)需要提前创建,且名称需保持一致;权限策略中包含的元数据已存在,且名称一致。
- 如果迁移类型为Ranger,则仅支持Ranger的allow权限迁移,不支持deny权限迁移。
操作步骤
- 登录LakeFormation管理控制台。
- 在左侧下拉框中选择待操作的LakeFormation实例,在左侧导航栏选择“任务管理 > 任务授权”。
单击“同意授权”,对当前用户授予管理LakeFormation迁移任务权限。如果已授权则跳过该步骤。
如果需要取消用户的LakeFormation任务管理权限,请单击“取消授权”。
同意授权后,LakeFormation将自动创建名为lakeformation_job_trust的委托,在任务运行期间,请勿删除该委托。
- 在左侧导航栏选择“任务管理 > 权限迁移”。
- 单击“创建迁移任务”,配置相关参数后,单击“提交”。
表1 创建权限迁移任务 参数
参数说明
任务名称
填写待创建权限迁移任务名称。
描述
所创建迁移任务的描述信息。
权限策略类型
选择待迁移权限策略类型。
- DLF:第三方数据湖构建(Data Lake Formation,DLF)权限策略
- RANGER:MRS集群中Ranger权限策略
权限策略文件存储位置
待迁移的权限策略文件在OBS并行文件系统中的存储位置。
权限策略文件名
待迁移权限策略的文件名称。
日志存储位置
运行迁移任务时,产生的日志存储位置。
Catalog ID
填写权限来源的Catalog名称。
“权限策略类型”选择“DLF”时配置该参数。
授权主体转换关系
手动指定对应的权限策略的授权主体的转换关系,前、后缀值会为最终授权主体名称添加对应的前缀、后缀。
需要分别配置“用户转换对象”、“用户组转换对象”、“角色转换对象”,及其“前缀”和“后缀”。建议非IAM用户、非IAM用户组授权主体转换为角色。
“权限策略类型”为“DLF”时无需配置该参数。
事件通知策略
(当前该功能为公测阶段)
(可选)配置该选项后,发生特定事件(例如任务成功、任务失败等)后会发送通知(短信、邮件等)。
- 事件通知开关:开启后表示启用事件通知。
- 事件通知主题:选择需要通知的主题,可以在管理控制台选择“消息通知服务 SMN”进行配置。
- 事件:需要通知的主题状态,可选择“任务成功”、“任务失败”。
- 创建完成后,单击“操作”列的“运行”即可运行当前迁移任务。
- 在运行迁移任务前,需要已对用户进行任务授权,详情请参考2。
- 如果任务运行失败,在修复故障后可再次单击“操作”列的“运行”进行重试。
- 单击“操作”列“查看日志”,可以查看运行产生的日志。可单击日志最下方超链接查看完整日志。
- 如果界面中无“查看日志”,显示为“查看任务”,可以参考如下操作查看日志:
- 单击“操作”列“查看任务”可以查看任务执行情况。
- 单击查看完整日志中的链接,可以查看运行产生的日志。
- 单击操作列的“编辑”或“删除”,可以修改或者删除当前任务。
- 迁移任务成功以后,可以在“数据权限 > 数据授权”页面查看成功迁移的LakeFormation权限策略。
