系统策略针对所有云数据库HBase资源进行RAM授权,您也可以根据业务需求自定义授权策略,仅向RAM用户授予指定实例的具体操作权限。本文介绍如何自定义RAM授权策略。
RAM授权HBase资源的方式
创建自定义RAM授权策略的方法具体请参见创建自定义权限策略。
目前RAM对HBase进行授权的资源类型仅支持dbinstance(实例)一种。在通过RAM进行授权时,可以在策略的Resource字段中进行描述,资源的描述方式如下:
资源类型 | 授权策略中的资源描述方式 |
dbinstance | acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid |
参数说明如下:
参数名称 | 说明 |
regionid | 地域ID。 |
accountid | 云账号ID。 |
dbinstanceid | 实例ID。 |
授权示例
示例:授权RAM用户查看所有实例,但是仅能创建实例和扩容某个实例的存储,到期时间为2020年8月17日。
{
"Statement": [
{
"Action": [
"hbase:CreateCluster",
"hbase:ResizeDiskSize"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
},
{
"Action": [
"hbase:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
}
],
"Version": "1"
}
说明
更多详细的权限设置请参见权限策略语法和结构。
HBase API的鉴权规则
当RAM用户通过API进行资源访问时,HBase后台向RAM进行权限检查,以确保调用者拥有响应权限。每个API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。例如:API为CreateCluster,鉴权规则为acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid
。