全部產品
Search
文件中心

ApsaraDB for HBase:自訂RAM授權策略

更新時間:Jul 06, 2024

系統策略針對所有ApsaraDB for HBase資源進行RAM授權,您也可以根據業務需求自訂授權策略,僅向RAM使用者授予指定執行個體的具體操作許可權。本文介紹如何自訂RAM授權策略。

RAM授權HBase資源的方式

建立自訂RAM授權策略的方法具體請參見建立自訂權限原則

目前RAM對HBase進行授權的資源類型僅支援dbinstance(執行個體)一種。在通過RAM進行授權時,可以在策略的Resource欄位中進行描述,資源的描述方式如下:

資源類型

授權策略中的資源描述方式

dbinstance

acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid

參數說明如下:

參數名稱

說明

regionid

地區ID。

accountid

雲帳號ID。

dbinstanceid

執行個體ID。

授權樣本

樣本:授權RAM使用者查看所有執行個體,但是僅能建立執行個體和擴容某個執行個體的儲存,到期時間為2020年8月17日。

{
    "Statement": [
        {
            "Action": [
                "hbase:CreateCluster",
                "hbase:ResizeDiskSize"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        },
        {
            "Action": [
                "hbase:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}
說明

更多詳細的使用權限設定請參見權限原則文法和結構

HBase API的鑒權規則

當RAM使用者通過API進行資源訪問時,HBase後台向RAM進行許可權檢查,以確保調用者擁有響應許可權。每個API會根據涉及到的資源以及API的語義來確定需要檢查哪些資源的許可權。例如:API為CreateCluster,鑒權規則為acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid