全部產品
Search
文件中心

Data Lake Formation:DLF+EMR之統一許可權最佳實務

更新時間:Oct 17, 2024

本文結合具體業務情境,為您介紹如何使用DLF+EMR兩個產品實現資料湖上統一許可權的最佳實務。

背景說明

中繼資料和資料許可權是DLF產品提供的資料湖構建所需的基礎能力、資料湖上引擎及產品。通過DLF提供的統一中繼資料視圖訪問湖上資料,解決湖上資料面臨的中繼資料一致性及資料難以共用的問題,同時各引擎也可通過整合DLF統一許可權服務獲得企業級的許可權管理能力。

相關概念說明

  • EMR:阿里雲 E-MapReduce產品,詳見什麼是E-MapReduce

  • DLF Catalog:DLF資料目錄(DLF),DLF中繼資料體系的最上層實體,可以包括資料庫,資料表等中繼資料資訊。詳見資料目錄

  • DLF 資料許可權:DLF所提供的資料湖的資料許可權體系,支援設定資料庫、資料表、資料列、函數四種維度細粒度許可權控制。詳見資料許可權概述

業務情境說明

某公司有一個EMR叢集,期望Hive、Spark、Presto、Impala引擎可以通過統一的資料許可權,控制實際業務中不同使用者使用資料的許可權,主要分為以下幾種情況:

  • 超級管理員

    • 擁有資料湖上資料的所有許可權,以及分配許可權給其他人員的能力。

  • 業務A資料管理員

    • 擁有業務A相關的db_a的所有資料使用和存取權限,以及分配該資料庫許可權給其他人員的能力。

  • 業務A資料開發人員

    • 擁有業務A相關的db_a中所有資料使用和存取權限。

  • 業務A資料分析人員

    • 擁有業務A相關的db_a中部分表的部分列的存取權限,如對table1中col1,cole2的存取權限。

操作步驟

  1. 建立EMR叢集,並使用DLF作為中繼資料。

    1. 登入E-MapReduce控制台

    2. 建立E-MapReduce叢集,輸入選項如下:

      • 業務情境:選擇資料湖

      • 可選服務:需要至少選中HiveDLF-Auth組件,其他組件根據業務需要選擇。

      • 中繼資料:選擇DLF 統一中繼資料。

      • DLF資料目錄:選擇預設的DLF Catalog,或者建立一個資料目錄(Catalog)。此處示範使用catalog_test為例。

    3. 繼續其他配置完成EMR叢集建立。

      說明
      • 如果您已經有E-MapReduce叢集,但未安裝DLF-Auth組件,可以通過EMR叢集中添加服務的方式,添加DLF-Auth組件後,再使用DLF資料許可權。

      • 如果您已經有E-MapReduce叢集,但Hive中繼資料未使用DLF,可以通過中繼資料遷移後再使用DLF 資料許可權。也可通過DingTalk群聯絡我們:33719678

  2. 初始化相關資料庫和資料表。

    1. 登入EMR叢集,可參考登入叢集

    2. 通過Beeline串連Hive SQL。

      beeline -u jdbc:hive2://<主節點的節點名稱>:10000
    3. 執行以下語句初始化資料,建立測試資料。

      --建立資料庫和表
      create database db_a;
      create table db_a.table1(
      col1 string,
      col2 string,
      col3 string
      );
      create table db_a.table2(
      col1 string,
      col2 string,
      col3 string
      );
      
      create database db_b;
      create table db_b.table1(
      col1 string,
      col2 string,
      col3 string
      );
      
      --初始化測試資料
      --db_a.table1
      insert overwrite table db_a.table1 values('1','aliyun','emrA1'),('2','aliyun','dlfA1');
      
      --db_a.table2
      insert overwrite table db_a.table2 values('1','aliyun','emrA2'),('2','aliyun','dlfA2');
      
      --db_b.table1
      insert overwrite table db_b.table1 values('1','aliyun','emrB1'),('2','aliyun','dlfB1');
  3. 初始化各角色登入所需的RAM使用者。

    • 超級管理員,建立RAM使用者:dlf_data_admin。

    • 業務A資料管理員,建立RAM使用者:dlf_dba_admin。

    • 業務A資料開發人員,建立RAM使用者:dlf_dba_dev。

    • 業務A資料分析人員,建立RAM使用者:dlf_dba_analyst。

  4. 開啟資料許可權控制。

    需要完成以下兩步,才可以正式開啟EMR叢集的資料許可權控制:

    1. 在EMR叢集開啟資料許可權控制,具體操作參考DLF-Auth

    2. 在DLF中開啟Catalog的許可權控制,具體操作參考使用權限設定

      說明

      生產使用建議同時開啟LDAP認證,以保證使用者身份經過合法校正。以下樣本為簡單說明許可權問題,並未開啟LDAP認證,所以beeline串連時未要求輸入密碼。

  5. 設定超級管理員的許可權,使其具備DLF控制台授權許可權,以及所有資料的存取權限。

    1. 開啟資料湖構建控制台

    2. 在左側功能表列,選擇資料許可權 > 角色

    3. admin角色中,添加使用者dlf_data_admin,此時dlf_data_admin就會具備dlf管理所有資料許可權的管理員。可以為任意使用者配置相關資料許可權。

    4. 如果需要dlf_data_admin可以為在DLF控制台為RAM使用者配置資料許可權,還需要在RAM控制台中,為dlf_data_admin添加權限原則:AliyunDLFFullAccessAliyunRAMReadOnlyAccess

    5. 登入EMR叢集,使用dlf_data_admin串連Hive,執行HiveSQL。

      beeline -u jdbc:hive2://<主節點的節點名稱>:10000 -n dlf_data_admin
      select * from db_a.table1;
      select * from db_b.table1;

      上述SQL查詢成功,該使用者dlf_data_admin同時具備了所有資料庫,資料表的存取權限。

  6. 設定業務A資料管理員的許可權,使其具備DLF控制台授權db_a資料庫的許可權,以及db_a資料庫資料的存取權限。

    1. 切換阿里雲網站的登入使用者為dlf_data_admin子帳號,使用該賬戶後續為其他使用者進行資料授權。

    2. 登入資料湖構建控制台

    3. 在左側功能表列,選擇資料許可權 > 資料授權,單擊新增授權

    4. 輸入如下資訊:

      • 主體類型RAM 使用者/角色

      • 主體選擇:dlf_dba_admin。

      • 授權資源資源授權

      • 選擇資料目錄:catalog_test。

      • 選中資料庫:db_a。

      • 許可權配置

        • 資料庫-資料許可權ALL

        • 資料庫-授權許可權ALL

        • 資料庫下所有對象-資料許可權ALL

        • 資料庫下所有對象-授權許可權ALL

    5. 單擊確定,儲存授權資訊。

    6. 如果需要dlf_dba_admin在DLF控制台為RAM使用者配置資料許可權,還需要在RAM控制台中,為dlf_dba_admin添加權限原則:AliyunDLFFullAccess,AliyunRAMReadOnlyAccess。

    7. 登入EMR叢集,使用dlf_dba_admin串連Hive,執行HiveSQL。

      beeline -u jdbc:hive2://<主節點的節點名稱>:10000 -n dlf_dba_admin
      select * from db_a.table1;
      select * from db_b.table1;

      上述SQL第一條查詢成功,該使用者dlf_dba_admin具備了db_a資料庫及其下面所有資源的許可權。

      上述SQL第二條查詢失敗,該使用者dlf_dba_admin不具備db_b資料庫及其下面所有資源的許可權。

  7. 設定業務A資料開發人員的許可權,使其具備db_a資料庫資料的查詢和修改許可權。

    1. 切換阿里雲網站的登入使用者為dlf_dba_admin子帳號,使用該賬戶後續為其他使用者進行資料授權。

    2. 登入資料湖構建控制台

    3. 在左側功能表列,選擇資料許可權>資料授權,單擊新增授權

    4. 輸入如下資訊:

      • 主體類型RAM 使用者/角色

      • 主體選擇:dlf_dba_dev。

      • 授權資源資源授權

      • 選擇資料目錄:catalog_test。

      • 選中資料庫:db_a。

      • 許可權配置

        • 資料庫-資料許可權ALL

        • 資料庫-授權許可權ALL。

        • 資料庫下所有對象-資料許可權ALL

        • 資料庫下所有對象-授權許可權ALL

    5. 單擊確定,儲存授權資訊。

    6. 登入EMR叢集,使用dlf_dba_dev串連Hive,執行HiveSQL。

      beeline -u jdbc:hive2://<主節點的節點名稱>:10000 -n dlf_dba_dev
      select * from db_a.table1;
      insert into table db_a.table1 values('3','aliyun','emrA1'),('4','aliyun','dlfA1');
      
      select * from db_b.table1;
      insert into table db_b.table1 values('3','aliyun','emrA1'),('4','aliyun','dlfA1');
      

      上述SQL第1、2條查詢成功,該使用者dlf_dba_dev具備了db_a資料庫及其下面所有資源的查詢和修改許可權。

      上述SQL第3、4條查詢失敗,該使用者dlf_dba_dev不具備db_b資料庫及其下面所有資源的查詢和修改許可權。

  8. 設定業務A資料分析人員的許可權,使其具備db_a資料庫table1(col1,col2)的存取權限。

    1. 在阿里雲網站的登入使用者為dlf_dba_admin子帳號,使用該賬戶後續為其他使用者進行資料授權。

    2. 登入資料湖構建控制台

    3. 在左側功能表列,選擇資料許可權>資料授權,單擊新增授權

    4. 輸入如下資訊:

      • 主體類型RAM 使用者/角色

      • 主體選擇:dlf_dba_analyst。

      • 授權資源資源授權

      • 資源類型資料列

      • 選擇資料目錄:catalog_test。

      • 選擇資料庫:db_a。

      • 選擇資料表:table1。

      • 許可權配置

        • 資料列-資料許可權ALL

    5. 單擊確定,儲存授權資訊。

    6. 登入EMR叢集,使用dlf_dba_analyst串連Hive,執行HiveSQL。

      beeline -u jdbc:hive2://<主節點的節點名稱>:10000 -n dlf_dba_analyst
      select * from db_a.table1;
      select col1,col2 from db_a.table1;
      insert into table db_a.table1 values('5','aliyun','emrA1'),('6','aliyun','dlfA1');
      select * from db_b.table1;

      上述SQL第2條查詢成功,該使用者dlf_dba_dev具備了db_a.table1(col1,col2)的查詢許可權。

      上述SQL第1條查詢失敗,該使用者dlf_dba_dev不具備db_a.table1(col3)的查詢許可權。

      上述SQL第3條查詢失敗,該使用者dlf_dba_dev不具備db_a.table1的資料修改許可權。

      上述SQL第4條查詢失敗,該使用者dlf_dba_dev不具備db_b資料庫的資料查詢許可權。

總結

以上樣本示範了一個簡單業務情境下如何運用DLF進行資料授權的操作步驟。您可以根據具體業務需求,靈活配置DLF資料許可權,以授予不同使用者訪問和操作各類資源的適當許可權。