本文介绍了数据收集器中角色和权限的概念,以及如何配置和管理这些权限。用户需要角色来执行不同任务,权限则决定了对管道的访问级别。管理员和管道所有者具有完全访问权限。权限可以通过角色、用户和组进行分配,也可以从一个用户或组转移给另一个。数据收集器支持将管道权限设置为读取、写入和执行,权限配置可通过pipeline.access.control.enabled属性启用。
角色和权限
数据收集器允许您为用户和组分配角色和管道权限。
角色(如“创建者”或“管理者”)使用户能够执行不同的数据收集器任务。每个用户至少需要一个角色才能访问数据收集器。
权限确定对各个管道的读取、写入和执行访问权限。用户通常需要角色和权限的组合才能执行与管道相关的任务。例如,若要编辑管道,需要“创建者”角色以及管道的读取和写入权限。
使用组可以轻松地将管道权限分配给用户集。使用 LDAP 身份验证时,您还可以为 LDAP 组分配角色。当用户属于某个组时,该用户将具有分配给该组和该用户的权限组合。
必要时,可以将权限从用户或组转移到其他用户或组。
请注意,具有管理员角色的用户对每个管道具有完全访问权限。并且管道的所有者对管道具有完全访问权限。这些用户还可以更改管道的所有者。
角色
角色使您能够执行数据收集器任务。每个用户至少需要一个角色才能访问数据收集器。
使用基于文件的身份验证时,必须为每个用户分配至少一个角色。
使用 LDAP 身份验证时,您可以为用户或组分配角色。如果用户属于某个组,则除了直接分配给用户的角色外,还会将与该组关联的任何角色授予该用户。
| 角色 | 任务 |
|---|---|
| 管理 | 执行任何数据收集器任务。可以执行下面列出的所有任务,以及启动和停止数据收集器、查看数据收集器配置、数据收集器指标和日志信息。使用程序包管理器安装库。生成支持包。 |
| 经理 | 启动和停止管道,监视管道,配置和重置警报。拍摄、查看和管理快照。 |
| 造物主 | 创建和配置管道和警报、预览数据以及监视管道。导入管道。 |
| 客人 | 查看管道和警报,以及常规监视信息。导出管道。 |
管道权限
管道权限确定用户对管道的访问权限。管道的所有者和具有管理员角色的用户对管道具有完全访问权限。作为管道所有者或具有管理员角色的用户,您还可以将管道权限分配给单个用户和组。
若要执行与管道相关的任务,您必须具有相应的管道权限以及与任务关联的角色。例如,具有“来宾”角色的用户只有在被授予管道的读取权限时才能查看该管道。同样,若要使用“创建者”角色编辑管道,需要对管道具有读取和写入权限。
若要轻松地启用对用户集的管道访问,请向组授予权限。例如,假设您有五个用户需要读取和执行访问权限才能运行多个管道。若要允许此操作,必须与每个用户共享每个管道。但是,如果用户位于单个操作组中,则只需分配对“操作”组的读取和执行访问权限,而不是单独为每个用户分配权限。
若要使用管道权限,请启用 pipeline.access.control.已启用数据收集器配置属性,并逐个管道配置权限。
默认情况下,“管道访问控制”属性处于禁用状态。禁用管道权限后,对管道的访问将基于分配给用户及其组的角色。
您可以配置以下管道权限:
| 许可 | 描述: __________ |
|---|---|
| 读 | 查看和监视管道,并查看警报。查看现有快照数据。 |
| 写 | 编辑管道和警报。 |
| 执行 | 启动和停止管道。预览数据并拍摄快照。 |
有关与用户和组共享管道的详细信息,请参阅共享管道。
常见任务的角色和权限
执行数据收集器任务通常需要角色和权限的组合。下表概述了执行常见任务的要求。
| 任务 | 角色 | 管道权限 |
|---|---|---|
| 查看管道 | 任何 | 读 |
| 创建管道 | 创建者或管理员 | 没有 |
| 编辑管道 | 创建者或管理员 | 读和写 |
| 预览管道 | 创建者或管理员 | 读取和执行 |
| 启动和停止管道 | 经理或管理员 | 读取和执行 |
| 查看现有快照数据 | 经理或管理员 | 读 |
| 监控管道并拍摄快照 | 经理或管理员 | 读取和执行 |
| 复制管道 | 创建者或管理员 | 读 |
| 将管道导入新管道 | 创建者或管理员 | 没有 |
| 将管道导入现有管道 | 创建者或管理员 | 读和写 |
| 导出管道 | 任何 | 读 |
| 共享管道并配置权限 | 管理 | 没有 |
| 查看管道权限 | 任何 | 读 |
| 启动或停止数据收集器 | 管理 | 不適用 |
| 查看日志数据和数据收集器指标 | 管理 | 不適用 |
| 使用程序包管理器安装或卸载阶段库 | 管理 | 不適用 |
传输管道权限
您可以将管道权限从用户或组转移到其他用户或组。传输权限时,所有管道权限都将传递给目标用户或组。管道所有权仅从一个用户转移到另一个用户。
当用户帐户或组过时时(例如,当用户离开公司或当您向 StreamSets 控制中心注册数据收集器时)转移权限。当用户在公司内更改职位时,您也可以转移权限。
例如,假设一个 JD 用户帐户属于一个管道开发人员,该开发人员已创建多个管道,现在正在过渡到操作。作为管道创建者,JD 对她创建的管道拥有完全权限。管道即将投入生产,因此她需要读取和执行权限才能运行管道,但她应该不能再编辑它们。
要处理这种情况,您可以将与 JD 帐户关联的所有权限转移给其他开发用户或开发组。然后,将 JD 分配给具有“管理员”角色的 Ops 组,并为该 Ops 组分配他们需要运行的管道的读取和执行权限。或者,在没有 Ops 组的情况下,您只需将 Manager 角色分配给 JD 用户帐户并编辑管道权限,即可向 JD 授予读取和执行权限。
转移权限时,“转移用户和组权限”对话框将列出不再存在但仍与管道权限关联的任何用户或组。这使您可以轻松地从过时的用户和组转移权限。
转移权限
您可以将所有权限从一个用户或组转移到另一个用户或组。
若要更改与各个管道相关的权限,请为每个管道配置共享属性。有关更多信息,请参阅 共享管道。
- 要传输权限,请单击管理图标,然后单击传输权限。
此时将显示 “转移用户 &组权限”对话框。
- 如果列出了用户或组,请查看该列表并根据需要更正建议的映射。
在对话框的左侧,数据收集器列出了不再存在但仍具有管道权限的所有用户或组。这使您可以轻松地从这些用户和组转移权限。对话框的右侧显示可用用户和组的列表。选择要接收每个映射的权限的用户或组。或者,如果您不想从列出的用户或组转移权限,请使用 “减去”图标删除该行。
- 使用简单或批量编辑模式,单击添加图标以添加行。
- 在左侧,输入要从中传输权限的用户或组的名称。
- 在右侧,选择要接收这些权限的用户或组。
管道所有权只能转让给其他用户。如果将权限从用户转移到组,并且该用户也是管道所有者,则该用户将保留所有权。具有管理员角色的用户可以根据需要将管道所有权转让给其他用户。注意:您可以将权限从用户或组转移到单个用户或组。如果将同一用户或组映射到多个目标,数据收集器会将权限传递给列表中的最后一个用户或组。
- 根据需要添加任意数量的行和映射,然后若要保存更改,请单击“更新”。
权限更改将立即生效。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
