大数据研发治理套件
大数据研发治理套件
- 文档首页
大数据研发治理套件用户指南数据集成权限说明
文档反馈
问问助手1 背景
DataLeap 子用户默认情况下不支持集成任务、集成数据源和独享集成资源组的创建和管理,相关操作仅支持主账号和赋予 DataLeapFullAccess、DataLeapSailCreateTaskAccess 或其余权限策略的子账号进行操作。
本文将为您介绍当子用户具备不同权限策略时,所能够支持操作的数据集成相关内容,以及权限策略添加步骤的说明。
2 使用前提
已创建需要使用的子用户账号信息。创建操作详见账号赋权。
3 账号说明
DataLeap 全局级别包括三种用户:主账号(租户管理员)、IAM 用户(租户成员)和 IAM 角色。DataLeap 平台支持主账号给 IAM 用户(子账号)和 IAM 角色授予资源的权限,仅限有权限的 IAM 用户或角色在 DataLeap 控制台进行各类资源操作,从而避免因暴露主账号密钥造成的安全风险。
- 主账号
可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限,包含 DataLeap 服务下所有模块产品的操作权限,例如数据开发、任务发布、项目控制台、数据安全等。 - IAM 用户
可创建项目下属于不同成员的用户账号归属,并通过主账号来授予不同策略权限后,实现细粒度控制成员访问云资源权限。 - IAM 角色
角色是向信任身份进行授权访问的一种虚拟实体,其本身无法直接访问云服务,角色需要先授信给其他身份,受信任的身份通过扮演角色(AssumeRole)获取临时安全凭证后,来访问云资源。
IAM角色按照人员角色进行分工,不同的扮演者可扮演同一角色,且同一角色会获得同等的权限,例如IT部门统一按照IT_admin角色进行登录。说明
角色赋权方式与IAM用户相同,可获得的权限也与IAM用户相同,下面将以IAM用户为例,对相关权限进行说明。
4 操作步骤
下面将为您介绍主账号如何给子用户赋予相关权限策略的操作步骤。
主账号登录火山访问控制界面。
在左侧导航栏中选择身份管理 > 用户选项,进入子用户管理界面。
在左上角搜索框中搜索需要授权的子用户名信息。
单击用户名信息,直接进入该用户详情页的权限管理页面。
单击添加权限按钮,进入添加授权页面,搜索相应的权限策略名称并勾选后,单击提交按钮,完成为子用户添加对应的权限策略。
5 权限策略说明
5.1 DataLeap 权限说明
DataLeap 平台支持 DataLeapFullAccess 权限策略,目前该权限策略会赋予 IAM 用户 DataLeap 服务全读写策略。
权限策略 | 权限说明 |
|---|---|
DataLeapFullAccess | 具备 DataLeap 平台所有资源的购买/退订、项目创建、任务创建等全部管理权限。 说明
|
5.2 DataSail 权限说明
在全域数据集成 DataSail 相关操作上,倘若 IAM 用户无需持有 DataLeapFullAccess 权限,您也可为其赋予 DataLeapSailReadOnlyAccess、DataLeapSailCreateTaskAccess 等权限策略。
不同权限策略,在数据集成相关操作上的限制情况如下:
操作项 | 项目角色要求 | DataLeapSailReadOnlyAccess | DataLeapSailCreateTaskAccess | DataLeapFullAccess | |
|---|---|---|---|---|---|
租户控制台(不区分项目) | 独享集成资源组创建/扩容/缩容/续费/退订/删除 | 无要求 | 不支持 | 不支持 | ✅ |
独享集成资源组列表查看/使用率查看/运行实例查看/项目绑定查看 | 无要求 | ✅ | ✅ | ✅ | |
资源组项目绑定/解绑 | 项目管理员 | 不支持 | ✅ | ✅ | |
单项目内 | 数据源创建/编辑/删除 | 项目管理员 | 不支持 | ✅ | ✅ |
普通集成任务创建/运维 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
解决方案创建/修改/删除 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
数据源/普通集成任务/解决方案查看列表权限 | 项目管理员、开发、复查人、访问 | ✅ | ✅ | ✅ |
说明
- 项目角色中的访客角色,仅能访问项目类型为公开的项目。项目类型区分说明详见创建项目。
- 历史权限策略 DataLeapSailFullAccess 权限限制与 DataLeapFullAccess 控制一致。
6 后续操作
子用户完成相应的权限策略添加后,便可前往 DataLeap 项目中,进行创建数据源、创建任务等相关操作。