dlcatalog中如何设置IAM授权策略

DAYU DLCatalog是DAYU下的一个元数据管理服务，提供了对多mrs集群元数据管理的能力。而dlcatalog的鉴权模块提供rest端和thrift端访问hive metastore的鉴权能力。用户通过鉴权结果来被授权可以访问特定资源。在鉴权之前，用户需要自定义授权的策略以便可以完成鉴权。

DAYU DLCatalog注册的scope是XA(项目级服务)，因此在获取token，创建自定义策略的时候通过project_id指定项目级的配置信息。

一、    授权

1.1          授权注册所需的token获取方式

token可通过多种方式获取，例如用户名+密码置换、ak/sk置换、委托用户置换等、用户可根据自己实际的使用场景来选择不同的token置换场景，本文以用户名+密码的方式为例

授权注册所有的token必须是：内部服务的op_service权限token，以及op_svc开头服务管理租户token可调用。

通过postman模拟请求获取token：

POST: https://IAM_ENDPOINT:PORT/v3/auth/tokens

Body:

{

         "auth": {

                   "identity": {

                            "methods": [

                                     "password"

                            ],

                            "password": {

                                     "user": {

                                               "name": ******,

                                               "password": ******,

                                               "domain": {

                                                        "name": ******

                                               }

                                     }

                            }

                   },

                   "scope": {

                            "domain": {

                                     "name": ******

                            }

                   }

         }

}

返回的headers的头部信息X-Subject-Token即是密文token

1.2          授权注册信息

授权注册时机：DLCatalog服务部署通过自动化脚本注册。

授权注册内容：

1)         云服务注册

2)         action注册

3)         resource注册

4)         关联action和resource

二、    配置自定义策略

2.1          创建用户

使用IAM账号登录

2.2          创建自定义策略

1）  创建自定义策略

略

2）  选择“项目级服务”--> 云服务 --> 操作 --> 资源 --> 请求条件(可选) --> 确定

2.3          创建用户组

1）  创建用户组

略

2）  添加成员

略

3）  权限配置

配置权限-->区域级项目--> cn-north-7[华为-乌兰察布二零三]-->选择自定义策略--> 确定

注：选择“区域级项目" 选择需要使用dlcatalog的区域

至此，已完成IAM中有关dlcatalog的授权配置相关部分。