大数据研发治理套件
大数据研发治理套件
- 文档首页
大数据研发治理套件用户指南用户权限体系权限介绍
文档反馈
问问助手用户是访问控制的一种身份,由主账号或是被授予 AdministratorAccess 系统策略的 IAM 用户或IAM角色创建。用户被授予权限(Policy)后,可登录控制台或使用访问密钥(Access Key)调用API访问云资源。
账号说明
DataLeap 全局级别包括三种用户:主账号(租户管理员)、IAM 用户(租户成员)和 IAM 角色。
- 主账号
可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限,包含 DataLeap 服务下所有模块产品的操作权限,例如数据开发、任务发布、项目控制台、数据安全等。 - IAM 用户
可创建项目下属于不同成员的用户账号归属,并通过主账号来授予不同策略权限后,实现细粒度控制成员访问云资源权限。
DataLeap 平台支持主账户给 IAM 用户(子账号)授予资源的权限,仅限有权限的 IAM 用户在 DataLeap 租户控制台进行各类资源操作,从而避免因暴露主账号密钥造成的安全风险。 - IAM 角色
角色是向信任身份进行授权访问的一种虚拟实体,其本身无法直接访问云服务,角色需要先授信给其他身份,受信任的身份通过扮演角色(AssumeRole)获取临时安全凭证后,来访问云资源。
IAM角色按照人员角色进行分工,不同的扮演者可扮演同一角色,且同一角色会获得同等的权限,例如IT部门统一按照IT_admin角色进行登录。说明
角色赋权方式与IAM用户相同,可获得的权限也与IAM用户相同,下面将以IAM用户为例,对相关权限进行说明。
DataLeap 租户控制台权限
DataLeap 租户控制台是一个集中管理当前租户下所有 DataLeap 项目、资源组的可视化页面,可高效的管理 DataLeap 项目列表、资源组列表以及开通 DataLeap 服务版本等。同时,租户控制台概览界面,还提供了 DataLeap 各功能模块的快速入口,可一键进入到具体模块操作界面。
DataLeap 租户控制台受 DataLeapFullAccess、DataLeapReadOnlyAccess 权限策略控制,不同权限策略,IAM 子用户在 DataLeap 租户控制台可操作项不同,具体权限说明如下:
权限策略 | 权限说明 |
|---|---|
DataLeapFullAccess | 具备 DataLeap 租户控制台所有资源的管理权限,包括 DataLeap 服务版本开通、独享资源组的购买/退订、项目创建、引擎绑定等租户控制台界面的管理操作。 |
DataLeapReadOnlyAccess | 具备 DataLeap 租户控制台所有资源的查看权限,包括概览界面我加入的项目、独享调度/计算/服务资源组、引擎绑定等信息的查看权限。 |
添加 DataLeap 租户控制台 IAM 子用户权限策略操作详见 添加 IAM 策略。
说明
- 在 DataLeap 租户控制台概览界面,需给 IAM 子用户添加 DataLeapReadOnlyAccess 策略,之后才能在概览界面下的“我加入的项目”中看到具体项目列表。
- 若 IAM 子用户相关权限的策略作用范围为部分火山引擎项目时,则在拥有 DataLeapFullAccess 权限策略的基础上,还必须添加 DataLeapReadOnlyAccess 策略,然后该 IAM 子用户才可以进行创建项目、资源管理等操作。
DataLeap 项目控制台
DataLeap 以项目为单位对任务进行划分管理。所有数据开发治理工作都将在 DataLeap 项目中进行,一个项目空间支持绑定火山引擎 E-MapReduce(EMR)、火山引擎云原生数据仓库 ByteHouse、湖仓一体分析服务(LakeHouse Analytics Service,LAS)、火山引擎流式计算 Flink 版等多种计算引擎,绑定引擎实例后,便可在项目中进行引擎任务开发和调度任务。
DataLeap 项目控制台角色
若您是某项目的管理员,则可对该项目进行项目配置修改、成员管理、复查配置、参数信息设置、数据源管理等操作。也可将多个 IAM 子用户添加至 DataLeap 项目中,并赋予子用户不同的角色,如项目管理员、开发、复查者等角色,实现多角色协同完成数据开发的业务场景。
有 DataLeapFullAccess 权限策略的 IAM 子用户不一定有具体 DataLeap 项目空间权限;并且当 IAM 子用户无需拥有 DataLeapFullAccess 权限,只需要项目查看、任务开发权限时,可以不授予其 DataLeapFullAccess 权限策略,仅需为 IAM 子用户添加具体的 DataLeap 项目控制台角色即可。
您可通过以下两种方式获取项目空间角色权限:
- 拥有 DataLeapFullAccess 权限策略的子用户,自身可通过新建 DataLeap 项目,获取项目空间权限,新建项目的创建者,默认为项目管理员角色。详见新建项目。
- 已创建的项目,可请对应项目的管理员角色,为 IAM 子用户添加相应的成员角色,不同成员角色说明如下:
角色 | 说明 |
|---|---|
管理员 | 能新建、查看、编辑项目内所有任务,能编辑项目配置和成员管理,支持新建数据集成数据源。 |
开发 | 能新建、查看、编辑项目内的所有任务,能查看数据集成数据源配置,无任务复查权限。 |
复查者 | 能新建、编辑项目内的所有任务,且对开启复查机制的项目,任务提交上线后,需复查人进行审核。审核通过后,任务才会正式发布上线,开发角色用户可以提交任务并选择复查人。 |
运维 | 能查看、运维项目内所有任务,无任务编辑权限。 |
访客 | 有该项目访客权限的用户能查看项目内所有任务,但没有编辑权限。 |
说明
- 当项目的项目类型为私有时,该项目成员的角色类型才会显示访客选项。
- 若 IAM 子用户任务开发包含创建并使用 DataSail 全域数据集成任务、独享集成资源组等内容时,需要添加 DataSail 相关权限,详见DataSail 权限说明。
添加成员操作详见管理成员信息。
DataLeap 项目控制台任务执行鉴权配置
项目下任务执行时,可使用用户账号或项目账号来提交任务并执行鉴权:
- 用户账号:项目中的每个任务均需使用具体的任务责任人账号来提交鉴权,可将生产(线上执行)指定为用户账号,此时在运维中心的生产任务周期执行时,便会对各任务在调度设置中配置的任务责任人进行鉴权。
- 项目账号:若项目下的任务需要使用统一的账号提交鉴权,可将生产(线上执行)指定为项目账号,此时在运维中心的生产任务周期执行时,便将使用主账号/租户下指定的某个子用户作为项目账号来统一执行鉴权。
当鉴权配置 > 生产环境开启项目账号配置时,不同任务类型权限校验情况有以下区分
- SQL、Shell、Python 等开发类的任务类型,运维中心执行时,会使用统一项目账号去提交任务并鉴权;
- 数据集成任务类型:
- 若数据集成数据源中配置了用户信息,会使用数据源中配置的用户信息去鉴权访问;
- 若数据源中没有配置用户信息,则运维中心执行时,会使用配置的项目账号去提交任务并鉴权;
说明
数据开发界面调试执行任务时,默认直接使用当前登陆的用户账号来执行鉴权。
DataSail 权限说明
在全域数据集成 DataSail 相关操作上,倘若 IAM 子用户无需持有 DataLeapFullAccess 权限,您也可为其赋予 DataLeapSailReadOnlyAccess、DataLeapSailCreateTaskAccess 等权限策略。
不同权限策略,在数据集成相关操作上的限制情况如下:
操作项 | 项目角色要求 | DataLeapSailReadOnlyAccess | DataLeapSailCreateTaskAccess | DataLeapFullAccess | |
|---|---|---|---|---|---|
租户控制台(不区分项目) | 独享集成资源组创建/扩容/缩容/续费/退订/删除 | 无要求 | 不支持 | 不支持 | ✅ |
独享集成资源组列表查看/使用率查看/运行实例查看/项目绑定查看 | 无要求 | ✅ | ✅ | ✅ | |
资源组项目绑定/解绑 | 项目管理员 | 不支持 | ✅ | ✅ | |
单项目内 | 数据源创建/编辑/删除 | 项目管理员 | 不支持 | ✅ | ✅ |
普通集成任务创建/运维 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
解决方案创建/修改/删除 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
数据源/普通集成任务/解决方案查看列表权限 | 项目管理员、开发、复查人、访问 | ✅ | ✅ | ✅ |
当 IAM 子用户进入 DataLeap 项目控制台时,若子用户没有以上 DataLeapSailReadOnlyAccess、DataLeapSailCreateTaskAccess、DataLeapFullAccess 权限策略之一时,会提示以下报错:
这是因为项目控制台 > 配置信息界面,有独享数据集成资源组对当前登陆用户的鉴权,针对此报错,您可按需进行以下操作:
- 如果您的业务场景中,不存在 DataSail 全域数据集成相关的任务需求,可单击报错窗口的确定按钮,忽略此报错,便能够正常进行后续的业务开发;
- 如果您的业务场景中,有 DataSail 全域数据集成相关的任务开发需求,如新建/查看数据集成任务、数据集成解决方案等场景,则您可以让主账号,为您授予 DataLeapSailReadOnlyAccess 或 DataLeapSailCreateTaskAccess 策略即可,便可解决上述报错提示。
EMR 引擎绑定
DataLeap 与火山引擎 E-MapReduce(EMR)集群结合数据开发前,需进行相关集群引擎绑定工作。
引擎绑定用于 DataLeap 与 EMR LDAP 账号进行对接,以实现由 DataLeap 进行相应的账号权限管理。通过 EMR Hadoop、StarRocks、Serverless StarRocks 集群绑定功能,DataLeap 可以接入对应的集群安全模式,从而实现不同的 EMR LDAP 账号在该模式下集群数据源中的库表权限管理。
绑定操作详见引擎绑定。
引擎访问模式说明
DataLeap 支持使用快捷模式或安全模式绑定 EMR 引擎,其差异说明如下:
- 快捷模式:
使用快捷模式绑定 EMR 引擎时,在任务实际执行的时候,是使用 EMR 超级账号来实现对 EMR 资源鉴权和使用。
快捷模式常应用于对任务执行或 EMR 中的数据没有强管控要求时。 - 安全模式:
使用安全模式绑定 EMR 引擎时,通过 IAM 用户名和 EMR LDAP 账号配置的映射关系,来保障数据权限隔离。即在任务实际执行的时候,通过实际执行时不同的 IAM 账号所对应绑定的 EMR LDAP 账号,来实现对 EMR 资源的鉴权和使用。
安全模式常应用于对不同 IAM 账号,在任务执行或数据操作方面有不同级别的权限强管控要求时使用。且 IAM 账号实际使用数据时,需先通过数据安全模块进行数据库表权限申请后,方可进行数据查询、写入等操作。详见数据安全权限申请。
EMR LDAP 账号密码修改
EMR 引擎安全模式下,使用 IAM 账号映射绑定的 EMR LDAP 账号,来实现EMR资源鉴权和使用。
若开启“自动绑定”按钮,首次映射绑定时,将获取所有主账号下的 IAM 账号并调用 EMR 账号注册接口,创建EMR LDAP同名账号,密码为“DataLeap_8位随机数”。若您需要修改 EMR LDAP 账号密码信息,您可前往 EMR 集群控制台 > 用户管理中,进行修改账号密码信息。操作详见 EMR Hadoop/StarRocks 用户管理、EMR Serverless OLAP 用户管理。
说明
如果没有绑定 LDAP 账号或绑定的 LDAP 账号没有相关资源权限,可能因为鉴权未通过导致相应任务失败。资源权限管理相关操作说明可参见数据安全。
数据安全申请权限
DataLeap 使用安全模式绑定 EMR 引擎,拥有 DataLeapFullAccess 权限策略的 IAM 用户后续操作使用 EMR 引擎下相关数据库表时,需额外申请对应的引擎下表的权限,您可通过数据安全模块,进行权限申请操作。
更多权限操作详见 数据安全。