數(shù)據(jù)湖構(gòu)建（DLF）產(chǎn)品的權(quán)限體系主要分為RAM權(quán)限以及DLF數(shù)據(jù)權(quán)限控制兩大類，如果您要訪問DLF的頁面或數(shù)據(jù)，一般都需要通過這兩層權(quán)限校驗，才可以正確的訪問到數(shù)據(jù)資源。

• RAM 權(quán)限：主要控制DLF所有OpenAPI的訪問權(quán)限，決定RAM用戶是否可以訪問某些DLF OpenAPI或頁面。

• DLF數(shù)據(jù)權(quán)限：主要控制DLF內(nèi)部資源的訪問和使用權(quán)限，包括數(shù)據(jù)庫，數(shù)據(jù)表，數(shù)據(jù)列，函數(shù)，數(shù)據(jù)目錄等。以及數(shù)據(jù)權(quán)限的操作權(quán)限。

DLF權(quán)限校驗的示例圖：

第一層：RAM OpenAPI 權(quán)限

主要控制DLF所有OpenAPI的訪問權(quán)限，決定RAM用戶是否可以訪問某些DLF OpenAPI或頁面。在RAM控制臺內(nèi)置了以下兩種授權(quán)策略：

• AliyunDLFFullAccess：表示具備所有DLF OpenAPI的調(diào)用權(quán)限。

• AliyunDLFReadOnlyAccess：表示具備所有DLF只讀OpenAPI（例如List/Get類的API）的調(diào)用權(quán)限。但不具備如Create/Delete等OpenAPI調(diào)用權(quán)限。

您也可以根據(jù)自己的權(quán)限控制需求，自定義RAM授權(quán)策略，滿足更細(xì)粒度的OpenAPI層面的權(quán)限控制。

第二層：DLF細(xì)粒度數(shù)據(jù)權(quán)限

主要控制DLF內(nèi)部資源的訪問和使用權(quán)限，包括數(shù)據(jù)庫，數(shù)據(jù)表，數(shù)據(jù)列，函數(shù)，數(shù)據(jù)目錄等。以及角色/用戶/新增授權(quán)等操作權(quán)限。

為了方便管理員整體進(jìn)行數(shù)據(jù)權(quán)限管理，DLF提供了內(nèi)置的數(shù)據(jù)權(quán)限管理員角色，您可以在“數(shù)據(jù)權(quán)限-角色”菜單下找到這兩個角色，并將某些用戶加到該角色下：

• admin（數(shù)據(jù)湖管理員）：擁有數(shù)據(jù)湖構(gòu)建中，所有的數(shù)據(jù)權(quán)限及授權(quán)權(quán)限。

• super_administrator（超級管理員）：擁有數(shù)據(jù)湖構(gòu)建中，所有的數(shù)據(jù)權(quán)限及授權(quán)權(quán)限，可以對admin的用戶進(jìn)行修改。

更加細(xì)粒度的權(quán)限配置，請參考 數(shù)據(jù)權(quán)限概述。

第二層：RAM DLF-DSS粗粒度數(shù)據(jù)權(quán)限

主要控制DLF內(nèi)部資源的訪問和使用權(quán)限，包括數(shù)據(jù)庫，數(shù)據(jù)表，數(shù)據(jù)列，函數(shù)，數(shù)據(jù)目錄等。以及角色/用戶/新增授權(quán)等操作權(quán)限。在RAM控制臺內(nèi)置了以下兩種授權(quán)策略：

• AliyunDLFDSSFullAccess 表示具備所有DLF細(xì)粒度資源的訪問權(quán)限

• AliyunDLFDSSReadOnlyAccess表示具備所有DLF細(xì)粒度資源的只讀訪問權(quán)限，包括List/Get/Select/Execute等

常見場景說明

• 僅使用DLF元數(shù)據(jù)，不需要進(jìn)行數(shù)據(jù)權(quán)限控制，但期望子賬號具備元數(shù)據(jù)查詢等權(quán)限。

  • 為子賬號授予“第一層：RAM OpenAPI 權(quán)限”，根據(jù)需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess內(nèi)置授權(quán)策略即可。

• 需要使用DLF數(shù)據(jù)權(quán)限控制，做細(xì)粒度的數(shù)據(jù)授權(quán)管理。

  • 為子賬號授予“第一層：RAM OpenAPI 權(quán)限”，根據(jù)需求授予AliyunDLFFullAccess 或 AliyunDLFReadOnlyAccess內(nèi)置授權(quán)策略即可。

  • 第二步，先開啟Catalog的權(quán)限設(shè)置

  • 第三步（可選），如你使用EMR等產(chǎn)品進(jìn)行查詢和修改數(shù)據(jù)，則需要在EMR集群同樣開啟DLF-Auth權(quán)限開關(guān)

  • 第四步，授予子賬號相應(yīng)數(shù)據(jù)權(quán)限，有以下幾種常見方式：

    • 授權(quán)數(shù)據(jù)管理員：可將admin/super_administrator等先由主賬號授予給RAM用戶，讓對應(yīng)的RAM用戶進(jìn)行授權(quán)管理，他將具備所有數(shù)據(jù)權(quán)限及授權(quán)管理權(quán)限。參考角色管理。

    • 授權(quán)普通數(shù)據(jù)庫管理員：可將某一個數(shù)據(jù)庫的所有權(quán)限點，授權(quán)給該用戶。參考新增授權(quán)。

    • 授權(quán)普通表/列訪問權(quán)限：可將某一個表或列的相應(yīng)權(quán)限點，授權(quán)給該用戶。參考新增授權(quán)。

權(quán)限常見問題

• 問題一：訪問時提示無RAM DLF API相關(guān)權(quán)限。

  • 具體表現(xiàn)為：頁面提示需要RAM進(jìn)行授權(quán)dlf:xxx權(quán)限，需要在RAM上授予AliyunDLF相關(guān)OpenAPI層權(quán)限，DLF在RAM上已內(nèi)置AliyunDLFFullAccess及AliyunDLFReadOnlyAccess權(quán)限，用戶可參考進(jìn)行授予。

    

• 問題二：授權(quán)時提示無資源權(quán)限。

  • 具體表現(xiàn)為：進(jìn)行權(quán)限授予時提示沒有dlf permission權(quán)限。

    • 授予用戶對應(yīng)資源的授權(quán)權(quán)限（也可通過授予角色獲得）。參考新增授權(quán)。

    • 授予用戶數(shù)據(jù)湖admin/super_administrator角色。參考角色管理。

    • 授予用戶dlf-dss權(quán)限，例如：

      • dlf-dss:BatchGrantPermissions + dlf-dss: SelectTable表示該用戶可以授予所有表的select權(quán)限給其他用戶。

    

• 問題三：調(diào)用控制類API無權(quán)限（例如權(quán)限相關(guān)listPermissions等，角色相關(guān)listRoles等）。

  • 具體表現(xiàn)為調(diào)用控制類API出錯，例如進(jìn)行權(quán)限查詢，角色管理時提示對應(yīng)操作沒有權(quán)限，錯誤碼為NoPermission，有幾種途徑可以解決問題。

  • 授予用戶數(shù)據(jù)湖admin/super_administrator角色。參考角色管理。

  • 授予用戶dlf-dss權(quán)限，DLF在RAM上已內(nèi)置AliyunDLFDSSFullAccess及AliyunDLFDSSReadOnlyAccess權(quán)限，例如：

    • dlf-dss:ListRoles表示該用戶可以查看所有DLF中的角色。

    • dlf-dss:ListPermissions表示該用戶可以查看所有DLF中已授予的權(quán)限。