dlcatalog中如何设置IAM授权策略

举报
killer_of_leon 发表于 2020/07/25 15:00:54 2020/07/25
【摘要】 DAYU DLCatalog是DAYU下的一个元数据管理服务,提供了对多mrs集群元数据管理的能力。而dlcatalog的鉴权模块提供rest端和thrift端访问hive metastore的鉴权能力。用户通过鉴权结果来被授权可以访问特定资源。在鉴权之前,用户需要自定义授权的策略以便可以完成鉴权。DAYU DLCatalog注册的scope是XA(项目级服务),顾在获取token,创建自定...

DAYU DLCatalog是DAYU下的一个元数据管理服务,提供了对多mrs集群元数据管理的能力。而dlcatalog的鉴权模块提供rest端和thrift端访问hive metastore的鉴权能力。用户通过鉴权结果来被授权可以访问特定资源。在鉴权之前,用户需要自定义授权的策略以便可以完成鉴权。

DAYU DLCatalog注册的scope是XA(项目级服务),因此在获取token,创建自定义策略的时候通过project_id指定项目级的配置信息。

一、    授权

1.1          授权注册所需的token获取方式

token可通过多种方式获取,例如用户名+密码置换、ak/sk置换、委托用户置换等、用户可根据自己实际的使用场景来选择不同的token置换场景,本文以用户名+密码的方式为例

授权注册所有的token必须是:内部服务的op_service权限token,以及op_svc开头服务管理租户token可调用。

通过postman模拟请求获取token:

POST: https://IAM_ENDPOINT:PORT/v3/auth/tokens

Body:

{

         "auth": {

                   "identity": {

                            "methods": [

                                     "password"

                            ],

                            "password": {

                                     "user": {

                                               "name": ******,

                                               "password": ******,

                                               "domain": {

                                                        "name": ******

                                               }

                                     }

                            }

                   },

                   "scope": {

                            "domain": {

                                     "name": ******

                            }

                   }

         }

}

返回的headers的头部信息X-Subject-Token即是密文token

1.2          授权注册信息

授权注册时机:DLCatalog服务部署通过自动化脚本注册。

授权注册内容:

1)         云服务注册

2)         action注册

3)         resource注册

4)         关联action和resource

二、    配置自定义策略

2.1          创建用户

使用IAM账号登录




2.2          创建自定义策略

1)  创建自定义策略

2)  选择“项目级服务”--> 云服务 --> 操作 --> 资源 --> 请求条件(可选) --> 确定


2.3          创建用户组

1)  创建用户组

2)  添加成员

3)  权限配置

配置权限-->区域级项目--> cn-north-7[华为-乌兰察布二零三]-->选择自定义策略--> 确定


注:选择“区域级项目" 选择需要使用dlcatalog的区域

至此,已完成IAM中有关dlcatalog的授权配置相关部分。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。