系統策略針對所有ApsaraDB for HBase資源進行RAM授權,您也可以根據業務需求自訂授權策略,僅向RAM使用者授予指定執行個體的具體操作許可權。本文介紹如何自訂RAM授權策略。
RAM授權HBase資源的方式
建立自訂RAM授權策略的方法具體請參見建立自訂權限原則。
目前RAM對HBase進行授權的資源類型僅支援dbinstance(執行個體)一種。在通過RAM進行授權時,可以在策略的Resource欄位中進行描述,資源的描述方式如下:
資源類型 | 授權策略中的資源描述方式 |
dbinstance | acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid |
參數說明如下:
參數名稱 | 說明 |
regionid | 地區ID。 |
accountid | 雲帳號ID。 |
dbinstanceid | 執行個體ID。 |
授權樣本
樣本:授權RAM使用者查看所有執行個體,但是僅能建立執行個體和擴容某個執行個體的儲存,到期時間為2020年8月17日。
{
"Statement": [
{
"Action": [
"hbase:CreateCluster",
"hbase:ResizeDiskSize"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
},
{
"Action": [
"hbase:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
}
],
"Version": "1"
}說明
更多詳細的使用權限設定請參見權限原則文法和結構。
HBase API的鑒權規則
當RAM使用者通過API進行資源訪問時,HBase後台向RAM進行許可權檢查,以確保調用者擁有響應許可權。每個API會根據涉及到的資源以及API的語義來確定需要檢查哪些資源的許可權。例如:API為CreateCluster,鑒權規則為acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid。