如何快速配置RAM子帳號許可權並提交DLASpark作業 - Data Lake Analytics - Deprecated

本文主要介紹如何快速配置RAM子帳號許可權並提交DLA Spark作業。

重要

雲原生資料湖分析（DLA）產品已退市，AnalyticDB for MySQL湖倉版支援DLA已有功能，並提供更多的功能和更好的效能。AnalyticDB for MySQL相關使用文檔，請參見帳號授權。

前提條件

已建立RAM子帳號。具體請參見建立RAM使用者。
已建立DLA子帳號。具體請參見管理DLA帳號。

背景資訊

目前DLA Spark的許可權分為三部分。

DLA控制介面的存取權限：用於控制RAM子帳號是否允許登入DLA控制台，是否允許RAM子帳號調用Spark作業管理相關API。具體操作請參見操作步驟1。
DLA表的存取權限：DLA表的存取權限預設通過DLA帳號進行許可權管理，Spark作業通過RAM子帳號提交。Spark作業如果要訪問表，需要將DLA帳號跟RAM帳號綁定。具體操作請參見操作步驟2。
Spark作業所依賴其他資源的存取權限：用於控制RAM子帳號所提交Spark作業所依賴的JAR包、非DLA表的其他資料來源，比如直接存取OSS目錄等。具體操作請參見操作步驟3。

操作步驟

登入RAM控制台，為RAM子帳號授予DLA存取權限。具體請參見為RAM使用者授權。

當前RAM系統中已經預設了三種DLA授權策略，在系統策略輸入框中輸入DLA就可以快速選擇。

權限原則的說明如下。

許可權名稱	許可權說明
AliyunDLAFullAccess	用於資料湖分析的管理員權限，擁有資料湖分析的所有許可權，可以執行建立叢集、刪除叢集、提交作業等操作，擁有授權給DLA服務的角色的使用權。
AliyunDLAReadOnlyAccess	用於資料湖分析的訪客許可權，擁有資料湖分析的唯讀許可權，可以查看叢集狀態、作業狀態等資訊。無法修改叢集的狀態，也無法提交作業。
AliyunDLADeveloperAccess	用於資料湖分析的開發人員許可權，可以查看叢集、作業的狀態，提交和執行作業，無法建立和刪除叢集，擁有授權給DLA賬戶的角色的使用權。

DLA子帳號綁定RAM子帳號。具體請參見DLA子帳號綁定RAM帳號。
單擊快速授權連結為RAM子賬戶快速授予資源存取權限。
該操作步驟自動幫您建立AliyunDLASparkProcessingDataRole角色，該角色包含使用者帳號下所有OSS Bucket的讀寫權限。

說明

上述3個步驟均是必選的，否則作業會報許可權錯誤。

驗證RAM子帳號許可權配置

當您完成以上操作後，即可使用RAM子帳號登入Data Lake Analytics管理主控台在Serverless Spark > 作業管理頁簽下，提交Spark作業驗證RAM子帳號許可權配置是否正確。具體請參見建立和執行Spark作業和作業配置指南配置樣本如下。

{
    "name": "SparkPi",
    "file": "local:///tmp/spark-examples.jar",
    "className": "org.apache.spark.examples.SparkPi",
    "args": [
        "100"
    ],
    "conf": {
        "spark.driver.resourceSpec": "medium",
        "spark.executor.instances": 1,
        "spark.executor.resourceSpec": "medium"
    }
}

說明

如果您在conf中沒有填寫spark.dla.roleArn配置資訊時，系統會預設使用AliyunDLASparkProcessingDataRole，您也可以自訂roleArn。具體請參見細粒度配置RAM子帳號許可權。