1 背景
DataLeap 子用户默认情况下不支持集成任务、集成数据源和独享集成资源组的创建和管理,相关操作仅支持主账号和赋予 DataLeapFullAccess、DataLeapSailCreateTaskAccess 或其余权限策略的子账号进行操作。
本文将为您介绍当子用户具备不同权限策略时,所能够支持操作的数据集成相关内容,以及权限策略添加步骤的说明。
2 使用前提
已创建需要使用的子用户账号信息。创建操作详见账号权限。
3 账号说明
DataLeap 全局级别包括两种用户:主账号(租户管理员)和 IAM 用户(租户成员)。
- 主账号
可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限,包含 DataLeap 服务下所有模块产品的操作权限,例如数据开发、任务发布、项目控制台、数据安全等。 - IAM 用户
可创建项目下属于不同成员的用户账号归属,并通过主账号来授予不同策略权限后,实现细粒度控制成员访问云资源权限。
DataLeap 平台支持主账户给 IAM 用户(子账号)授予资源的权限,仅限有权限的 IAM 用户在 DataLeap 控制台进行各类资源操作,从而避免因暴露主账号密钥造成的安全风险。
4 操作步骤
下面将为您介绍主账号如何给子用户赋予相关权限策略的操作步骤。
- 主账号登录火山访问控制界面。
- 在左侧导航栏中选择身份管理 > 用户选项,进入子用户管理界面。
- 在右上角搜索框中搜索需要授权的子用户名信息。
- 单击用户名信息,进入用户详情界面,并切换到权限界面。
- 在全局权限界面,单击添加权限按钮,进入选择策略界面。
- 在添加权限界面,搜索相应的权限策略名称并勾选后,单击确定按钮,完成为子用户添加对应的权限策略。
5 权限策略说明
5.1 DataLeap 权限说明
DataLeap 平台支持 DataLeapFullAccess 权限策略,目前该权限策略会赋予 IAM 用户 DataLeap 服务全读写策略。
权限策略 | 权限说明 |
|---|---|
DataLeapFullAccess | 具备 DataLeap 平台所有资源的购买/退订、项目创建、任务创建等全部管理权限。 说明
|
5.2 DataSail 权限说明
在全域数据集成 DataSail 相关操作上,倘若 IAM 用户无需持有 DataLeapFullAccess 权限,您也可为其赋予 DataLeapSailReadOnlyAccess、DataLeapSailCreateTaskAccess 等权限策略。
不同权限策略,在数据集成相关操作上的限制情况如下:
操作项 | 项目角色要求 | DataLeapSailReadOnlyAccess | DataLeapSailCreateTaskAccess | DataLeapFullAccess | |
|---|---|---|---|---|---|
租户控制台(不区分项目) | 独享集成资源组创建/扩容/缩容/续费/退订/删除 | 无要求 | 不支持 | 不支持 | ✅ |
独享集成资源组列表查看/使用率查看/运行实例查看/项目绑定查看 | 无要求 | ✅ | ✅ | ✅ | |
资源组项目绑定/解绑 | 项目管理员 | 不支持 | ✅ | ✅ | |
单项目内 | 数据源创建/编辑/删除 | 项目管理员 | 不支持 | ✅ | ✅ |
普通集成任务创建/运维 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
解决方案创建/修改/删除 | 项目管理员或开发 | 不支持 | ✅ | ✅ | |
数据源/普通集成任务/解决方案查看列表权限 | 项目管理员、开发、复查人、访问 | ✅ | ✅ | ✅ |
说明
- 项目角色中的访客角色,仅能访问项目类型为公开的项目。项目类型区分说明详见创建项目。
- 历史权限策略 DataLeapSailFullAccess 权限限制与 DataLeapFullAccess 控制一致。
6 后续操作
子用户完成相应的权限策略添加后,便可前往 DataLeap 项目中,进行创建数据源、创建任务等相关操作。