
ArgoDB 通过 Guardian 组件来创建和管理租户,实现多种大数据组件(如 Hive、YARN、HDFS 等)的权限统一管理,本小节将介绍:
概念介绍
ArgoDB 基于 ARBAC 模型(Administrative Role Based Access Control)授权机制,您可以通过为用户/组授予角色的方式实现权限的精细化管控。

-
用户:即终端用户,可使用该信息登录各服务。
-
用户组:是一组用户的集合,支持子组,当您对用户组授予角色时,用户组中的用户会自动继承该角色相应的权限,从而简化权限管理。
-
角色:是一个或多个权限合集,您可以授权一个角色多个操作权限,然后将角色授予给用户或用户组,该用户或用户组将继承该角色中的所有权限。
-
权限:对指定资源执行的具体操作,例如对某个表执行 SELECT 语句。
规划租户
在创建租户前,我们需要基于业务应用的需求规划租户所涉及的用户、用户组和角色,然后再授予相应权限,实现权限和资源的高效管理。
假设某企业使用 ArgoDB 作为统一的数据服务平台,目前有下述两个业务:
-
核心业务:对性能要求高,需要更多资源保障业务平稳运行,拥有较高的库/表权限。
-
普通业务:对性能要求不高,权限控制上更为严格,需要隐藏某些包含敏感数据的列,保障数据安全。
基于上述需求,我们可以为这两个业务创建不同的用户组,然后再分别为其添加具体的用户,具体如下:
用户组 | 包含用户 |
---|---|
core-bussiness-group |
core_user_01 |
normal-bussiness-group |
normal_user_01 |
创建租户
基于上述需求,我们可以为这两个业务创建不同的用户组,然后再分别为其添加具体的用户,操作流程如下。
操作步骤
-
登录 Guardian 平台。
-
登录 Transwarp Manager。
-
在页面右上角,选择全局服务 > Guardian。
-
找到 Guardian Server 对应的服务链接并单击访问。
图 7.3.1:获取登录地址 -
填写管理员账号和密码完成登录。
-
-
在顶部菜单栏,单击租户。
-
添加用户组,重复执行下述步骤分别为核心业务和普通业务创建用户组。
-
单击组页签,然后单击页面右上角的添加用户组。
-
在弹出的对话框中,填写用户组信息并单击确定。
图 7.3.2:创建用户组-
组名:填写用户组名称,支持英文字母、数字、短横线(-)和下划线(_)。
-
描述:填写具有业务意义的描述,便于后续识别。
-
组管理员:指定一个组管理员,也可以后续设置。
-
父组:如需将此用户组作为子组,可选择一个父组。
-
用户:选择加入至该组的用户。
-
角色:选择角色,本案例中保持为空,您也可以稍后创建角色并为其分配权限。
-
-
-
添加用户,重复执行下述步骤为核心业务组和普通业务组创建所属用户。
-
单击用户页签,然后单击页面右上角的添加用户。
-
在弹出的对话框中,填写用户信息并单击确定。
图 7.3.3:创建用户-
用户名:填写用户名称,支持英文字母、数字、短横线(-)和下划线(_)。
-
邮箱:填写用户邮箱。
-
全名:填写用户全名,可以作为备注信息。
-
描述:填写具有业务意义的描述,便于后续识别。
-
密码:设置用户的密码。
-
组:设置用户所属的组为刚创建的用户组。
-
角色:本案例中保持为空(自动获取 public 角色),您也可以稍后创建角色并为其分配权限。
您可以单击角色页签,查看 public 角色所具备的详细权限。
-
-