本文介紹通過阿里雲帳號開通OSS-HDFS服務,如何授權RAM使用者接入OSS-HDFS服務。
前提條件
已建立RAM使用者,並記錄RAM使用者的存取金鑰(AccessKey ID和AccessKey Secret)。具體步驟,請參見建立RAM使用者。
授權RAM使用者通過EMR叢集接入OSS-HDFS服務
阿里雲EMR特定版本叢集預設整合OSS-HDFS服務。當您希望通過RAM使用者以EMR叢集的方式接入OSS-HDFS服務並執行常見操作時,只需要授予RAM使用者AliyunEMRFullAccess系統策略。該策略包含了EMR叢集訪問OSS-HDFS服務所需的全部操作許可權,確保EMR叢集可以執行包括檔案讀寫、中繼資料管理等在內的所有必要操作。
為RAM使用者授權的具體操作,請參見為RAM使用者授權。
授權RAM使用者通過非EMR叢集接入OSS-HDFS服務
當您希望通過RAM使用者以非EMR叢集的方式接入OSS-HDFS服務並執行常見操作時,需要授予RAM使用者以下自訂權限原則。
以下自訂策略用於確保JindoSDK與OSS-HDFS服務的整合和互動,執行從基本的檔案讀寫到進階的資料湖管理的所有必要操作。
oss:ListObjects (
"acs:oss:*:*:*")允許RAM使用者列出Bucket中的所有對象。在HDFS介面中,用於查看目錄下的檔案和子目錄。
oss:GetBucketInfo, oss:PostDataLakeStorageFileOperation, oss:PostDataLakeStorageAdminOperation(對應資源為
"*")oss:GetBucketInfo:允許擷取Bucket的基本資料,初始化串連以檢查Bucket狀態。oss:PostDataLakeStorageFileOperation和oss:PostDataLakeStorageAdminOperation:針對OSS Data Lake Storage特性的操作,涵蓋相容HDFS基本的檔案讀寫操作以及進階的中繼資料管理能力。
oss:*(對應Resource為
"acs:oss:*:*:*/.dlsdata","acs:oss:*:*:*/.dlsdata*")允許對Bucket下以
.dlsdata/開頭的所有資源執行任意操作。在OSS-HDFS服務中,.dlsdata路徑通常用於儲存相關的內部中繼資料。該使用權限設定確保了JindoSDK能夠處理與OSS-HDFS服務相關的所有檔案操作和管理需求,包括但不限於建立、刪除、修改該路徑下的檔案或目錄。
{
"Statement": [
{
"Effect": "Allow",
"Action": "oss:ListObjects",
"Resource": [
"acs:oss:*:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"oss:GetBucketInfo",
"oss:PostDataLakeStorageFileOperation",
"oss:PostDataLakeStorageAdminOperation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "oss:*",
"Resource": [
"acs:oss:*:*:*/.dlsdata",
"acs:oss:*:*:*/.dlsdata*"
]
}
],
"Version": "1"
}目前不支援通過RAM Policy或者Bucket Policy對HDFS指定檔案或者目錄路徑進行授權操作。
為RAM使用者授權的具體操作,請參見為RAM使用者授權。