華為云計算 云知識 DLI權(quán)限管理概述
DLI權(quán)限管理概述
時間: 2020-09-04 10:27:41
猜你想看:
實時語音識別 云服務(wù)器配置 CDN是什么意思 視頻點播加速 什么是云桌面

使用場景

企業(yè)用戶在華為云上使用DLI服務(wù)時,需要對不同部門的員工使用DLI資源(隊列)進行管理,包括資源的創(chuàng)建、刪除、使用、隔離等。同時,也需要對不同部門的數(shù)據(jù)進行管理,包括數(shù)據(jù)的隔離、共享等。

DLI使用 統(tǒng)一身份認證 服務(wù)(Identity and Access Management,簡稱 IAM )進行精細的企業(yè)級多租戶管理。該服務(wù)提供用戶身份認證、權(quán)限分配、訪問控制等功能,可以幫助您安全地控制華為云資源的訪問。

通過IAM,您可以在華為云賬號中給員工創(chuàng)建IAM用戶,并使用策略來控制他們對華為云資源的訪問范圍。例如您的員工中有負責(zé)軟件開發(fā)的人員,您希望他們擁有DLI的使用權(quán)限,但是不希望他們擁有刪除DLI等高危操作的權(quán)限,那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶,通過授予僅能使用DLI,但是不允許刪除DLI的權(quán)限策略,控制他們對DLI資源的使用范圍。

IAM是華為云提供權(quán)限管理的基礎(chǔ)服務(wù),無需付費即可使用,您只需要為您賬號中的資源進行付費。關(guān)于IAM的詳細介紹,請參見《IAM產(chǎn)品介紹》。

如果華為云賬號已經(jīng)能滿足您的需求,不需要創(chuàng)建獨立的IAM用戶進行權(quán)限管理,您可以跳過本章節(jié),不影響您使用DLI服務(wù)的其他功能。

DLI權(quán)限

如表1所示,包括了DLI的所有系統(tǒng)權(quán)限。

權(quán)限類別:根據(jù)授權(quán)精程度分為角色和策略。

角色:IAM最初提供的一種根據(jù)用戶的工作職能定義權(quán)限的粗粒度授權(quán)機制。該機制以服務(wù)為粒度,提供有限的服務(wù)相關(guān)角色用于授權(quán)。由于華為云各服務(wù)之間存在業(yè)務(wù)依賴關(guān)系,因此給用戶授予角色時,可能需要一并授予依賴的其他角色,才能正確完成業(yè)務(wù)。角色并不能滿足用戶對精細化授權(quán)的要求,無法完全達到企業(yè)對權(quán)限最小化的安全管控要求。

策略:IAM最新提供的一種細粒度授權(quán)的能力,可以精確到具體服務(wù)的操作、資源以及請求條件等?;诓呗缘氖跈?quán)是一種更加靈活的授權(quán)方式,能夠滿足企業(yè)對權(quán)限最小化的安全管控要求。例如:針對DLI服務(wù),管理員能夠控制IAM用戶僅能對某一類 云服務(wù)器 資源進行指定的管理操作。

了解DLI SQL常用操作與系統(tǒng)策略的授權(quán)關(guān)系,請參考常用操作與系統(tǒng)權(quán)限關(guān)系。

表1 DLI系統(tǒng)權(quán)限

權(quán)限管理概述-表1

權(quán)限分類

表2權(quán)限分類

權(quán)限管理概述-表2

場景舉例

某互聯(lián)網(wǎng)公司,主要有游戲和音樂兩大業(yè)務(wù),使用DLI服務(wù)進行用戶行為分析,輔助決策。

如圖1所示,“基礎(chǔ)平臺組組長”在華為云上申請了一個“租戶管理員”(Tenant Administrator)賬號,用于管理和使用華為云的各個服務(wù)。因為“ 大數(shù)據(jù) 平臺組”需要使用DLI進行數(shù)據(jù)分析,所有“基礎(chǔ)平臺組組長”增加了一個權(quán)限為“DLI服務(wù)管理員”(DLI Service Admin)的子賬號用于管理和使用DLI服務(wù)?!盎A(chǔ)平臺組組長”按照公司兩個業(yè)務(wù)對于數(shù)據(jù)分析的要求,創(chuàng)建了“隊列A”分配給“數(shù)據(jù)工程師A”運行游戲數(shù)據(jù)分析業(yè)務(wù),“隊列B”分配給“數(shù)據(jù)工程師B”運行音樂數(shù)據(jù)分析業(yè)務(wù),并分別賦予“DLI普通用戶”(DLI Service User)權(quán)限,具有隊列使用權(quán)限,數(shù)據(jù)(除 數(shù)據(jù)庫 )的管理和使用權(quán)限。

圖1權(quán)限分配

權(quán)限管理概述-圖1

“數(shù)據(jù)工程師A”創(chuàng)建了一個gameTable表用于存放游戲道具相關(guān)數(shù)據(jù),userTable表用于存放游戲用戶相關(guān)數(shù)據(jù)。因為音樂業(yè)務(wù)是一個新業(yè)務(wù),想在存量的游戲用戶中挖掘一些潛在的音樂用戶,所以“數(shù)據(jù)工程師A”把userTable表的查詢權(quán)限賦給了“數(shù)據(jù)工程師B”。同時,“數(shù)據(jù)工程師B”創(chuàng)建了一個musicTable用于存放音樂版權(quán)相關(guān)數(shù)據(jù)。

“數(shù)據(jù)工程師A”和“數(shù)據(jù)工程師B”對于隊列和數(shù)據(jù)的使用權(quán)限如表3所示。

表3使用權(quán)限說明

權(quán)限管理概述-表3


DLI權(quán)限管理概述

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會繼續(xù)努力做到更好 反饋提交失??!請稍后重試!