在使用Hologres之前,必須擁有相關的許可權才能使用Hologres進行開發。本文為您介紹Hologres相關的權限原則,方便您根據使用情境對不同使用者授權,精細化系統管理使用者許可權。
Hologres使用者鑒權流程
Hologres使用者在使用過程中會根據使用情境的不同進行相關許可權的鑒權。例如,當使用者需要購買執行個體,則需要進行RAM鑒權,判斷該使用者是否具有Hologres管理主控台的購買操作許可權,否則需要授權才可以進行購買操作。
一個使用者從進入阿里雲到使用Hologres的完整鑒權流程如下圖所示。
管理Hologres執行個體:當您需要在Hologres管理主控台進行執行個體的購買、管理、升降配、續約和停機等操作時,阿里雲會對您的帳號進行RAM鑒權,是否具備相關許可權,否則不能進行操作。RAM鑒權說明請參見RAM鑒權。
串連Hologres進行開發:當您串連Hologres進行相關操作時,會進行Hologres鑒權,您需要具備相關許可權才能正常執行操作。Hologres鑒權說明請參見Hologres鑒權。
使用DataWorks:如果您需要使用DataWorks進行Hologres開發時,除了Hologres鑒權外也會需要進行DataWorks的操作鑒權確保您具有操作許可權。DataWorks鑒權說明請參見DataWorks鑒權。
使用MaxCompute:您需要使用Hologres加速查詢MaxCompute的表資料,還需要當前Hologres的帳號具有訪問對應MaxCompute的專案以及表的許可權。MaxCompute鑒權說明請參見MaxCompute鑒權。
RAM鑒權
存取控制RAM(Resource Access Management)是阿里雲提供的許可權管理系統。RAM主要的作用是控制帳號系統的許可權,您可以通過RAM授權為不同的子帳號分配不同的許可權,包括執行個體購買、刪除、升配、降配、修改網路類型、查看執行個體資訊等許可權,從而達到執行個體管理的目的。
如果不授予子帳號RAM許可權,子帳號無法在Hologres管理主控台查看執行個體詳情,但不會影響子帳號對Hologres的串連訪問。關於RAM的授權流程請參見授予RAM使用者權限。
Hologres鑒權
Hologres即時數倉相容PostgreSQL 11,在使用Hologres執行個體進行開發之前,會經過如下幾個層級的鑒權:
帳號鑒權
您可以使用阿里雲帳號(包括阿里雲帳號和RAM使用者)登入Hologres管理主控台。
當您使用psql或者JDBC等工具串連Hologres執行個體時,需要用到AccessKey ID及AccessKey Secret分別對應使用者名稱和使用者密碼。
更多關於帳號的詳細描述,請參見帳號概述。
使用者鑒權
帳號鑒權成功後,當使用者使用帳號串連Hologres時,系統將會判斷當前帳號是否為Hologres使用者。只有管理員執行了
create user "xxx"
命令,使用者才會被建立進執行個體中。關於使用者的描述以及建立使用者,請參見使用者概念。執行個體鑒權
使用者被建立進執行個體後,還需要被授予相關的操作許可權,才能在許可權範圍內進行操作。對使用者的授權操作,請參見Hologres許可權模型概述。
DataWorks鑒權
Hologres與DataWorks深度整合,使用DataWorks進行Hologres開發時,其許可權管理內容也有部分相容。在使用過程中請您按照如下幾點說明檢查您的授權情況:
進入DataWorks需要具備專案的存取權限。
使用DataStudio開發時需要具備Hologres執行個體的相關許可權。
涉及到DataWorks的其他動作,例如Data Integration、資料服務等,除了Hologres的鑒權之外,還需要進行DataWorks的操作鑒權,關於DataWorks的許可權,請參見附錄:預設角色許可權列表(空間級)。
DataWorks鑒權流程如下圖所示:
MaxCompute鑒權
當使用Hologres加速查詢MaxCompute表資料時,需要當前Hologres的帳號有訪問對應MaxCompute的專案以及表的存取權限。當某個使用者想要在Hologres中加速查詢MaxCompute時,其鑒權流程如下:MaxCompute許可權相關常見問題請參見MaxCompute許可權相關。