用户是访问控制的一种身份,由账号(也称主账号)或是拥有权限的用户创建。用户被授予策略后,可登录控制台或使用访问密钥(Access Key)调用 API 访问云资源。每个主账号可以创建多个子用户,并为不同的子用户授予不同的权限,以此管理账号下不同身份对云资源的访问权限。本文介绍如何为子用户设置使用 HBase 服务的相关权限。
独立管理资源:为不同业务创建不同的项目,通过子用户访问不同业务所属的资源。
安全问题:使用子用户的 AK/SK 调用 OpenAPI 接口,可有效避免主账号 AK/SK 的泄露风险。
IAM 支持两种类型的策略:系统预设策略和自定义策略,详情请参见策略概述。
说明
若需要使用子用户访问 HBase 服务的相关内容,至少需要为子用户赋予系统预设策略中的表格数据库 HBase 版、私有网络、云监控服务的管理或只读权限。
云监控只能为子用户在全局范围内添加该权限,不可添加为项目权限。
系统预设策略:是由火山引擎创建和管理的一些常见的权限集合,粒度较粗。系统预设策略只能用于授权,不可编辑和修改。
| 关联服务 | 策略名 | 说明 |
|---|---|---|
火山引擎中所有支持 IAM 的产品 | AdministratorAccess | 包含全部支持 IAM 的产品的管理权限,例如包含 ECSFullAccess、VPCFullAccess、IAMFullAccess、CloudMonitorFullAccess 等。 说明 拥有 |
| 表格数据库 HBase 版 | HBaseFullAccess | 表格数据库 HBase 版全部管理权限。添加此权限后,用户会拥有策略作用范围内表格数据库 HBase 版的读写权限,如创建实例、删除实例、变更实例配置等。 |
| HBaseReadOnlyAccess | 表格数据库 HBase 版只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例。 | |
| 私有网络 | VPCFullAccess | 私有网络(VPC)的全部管理权限。添加此权限后,用户会拥有策略作用范围内私有网络的读写权限,如创建私有网络、为 HBase 实例绑定私有网络或子网等。 |
| VPCReadOnlyAccess | 私有网络(VPC)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例的私网和子网信息。 | |
| 云监控 | CloudMonitorFullAccess | 云监控(CloudMonitor)的全部管理权限。添加此权限后,用户会拥有策略作用范围内 HBase 实例的监控告警的读写权限,如查看实例的监控数据、为实例添加告警策略等。 |
| CloudMonitorReadOnlyAccess | 云监控(CloudMonitor)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例的监控数据。 |
选择策略后,可根据需要为子用户指定策略的生效范围:
全局权限:添加全局权限后,用户获得的权限策略对账号内所有项目(包括未来新增项目)生效。
项目权限:添加项目权限后,用户获得的权限策略仅对指定项目内的资源生效。
使用主账号登录 HBase 控制台,并在右上角个人中心,单击访问控制。
在访问控制 > 身份管理 > 用户页面,单击新建用户。
在创建用户页面,选择创建用户的方式,并填写基本信息。
在权限设置向导页中,为该用户设置权限策略和作用范围。
| 授予权限类型 | 权限策略 |
|---|---|
管理权限 | 若需要让子用户拥有 HBase 的管理权限,您需要为子用户授予以下权限。
|
只读权限 | 若需要让子用户拥有 HBase 的只读权限,您需要为子用户授予以下权限。
|
说明
子用户创建成功后,您也可以随时修改其权限策略,操作详情请参见管理用户。
(可选)为子用户创建 AK/SK。关于创建 AK/SK的详细信息,请参见 Access Key(密钥) 管理。