dlcatalog中如何设置IAM授权策略
DAYU DLCatalog是DAYU下的一个元数据管理服务,提供了对多mrs集群元数据管理的能力。而dlcatalog的鉴权模块提供rest端和thrift端访问hive metastore的鉴权能力。用户通过鉴权结果来被授权可以访问特定资源。在鉴权之前,用户需要自定义授权的策略以便可以完成鉴权。
DAYU DLCatalog注册的scope是XA(项目级服务),因此在获取token,创建自定义策略的时候通过project_id指定项目级的配置信息。
一、 授权
1.1 授权注册所需的token获取方式
token可通过多种方式获取,例如用户名+密码置换、ak/sk置换、委托用户置换等、用户可根据自己实际的使用场景来选择不同的token置换场景,本文以用户名+密码的方式为例
授权注册所有的token必须是:内部服务的op_service权限token,以及op_svc开头服务管理租户token可调用。
通过postman模拟请求获取token:
POST: https://IAM_ENDPOINT:PORT/v3/auth/tokens
Body:
{
"auth": {
"identity": {
"methods": [
"password"
],
"password": {
"user": {
"name": ******,
"password": ******,
"domain": {
"name": ******
}
}
}
},
"scope": {
"domain": {
"name": ******
}
}
}
}
返回的headers的头部信息X-Subject-Token即是密文token
1.2 授权注册信息
授权注册时机:DLCatalog服务部署通过自动化脚本注册。
授权注册内容:
1) 云服务注册
2) action注册
3) resource注册
4) 关联action和resource
二、 配置自定义策略
2.1 创建用户
使用IAM账号登录
2.2 创建自定义策略
1) 创建自定义策略
略
2) 选择“项目级服务”--> 云服务 --> 操作 --> 资源 --> 请求条件(可选) --> 确定
2.3 创建用户组
1) 创建用户组
略
2) 添加成员
略
3) 权限配置
配置权限-->区域级项目--> cn-north-7[华为-乌兰察布二零三]-->选择自定义策略--> 确定
注:选择“区域级项目" 选择需要使用dlcatalog的区域
至此,已完成IAM中有关dlcatalog的授权配置相关部分。
- 点赞
- 收藏
- 关注作者
评论(0)