项目负责人拥有所负责的项目的所有权限,其职责是管理整个项目的基础配置、角色、成员,管理数据权限、目录权限、队列权限、功能权限等等。

项目刚创建完成后,项目中仅仅只有项目负责人一人。对与NDH底座的集群,该项目在该集群下,也只有一个Hive库、一个Yarn队列。为了使团队内部其它成员可以进入到项目中,并能开始使用本平台,首先需要基于未来会使用平台的用户群体,规划一些“角色”,比如数据开发、数据测试、数据治理、数据运维、数据分析师等。接着,也需要确定这些角色的成员可以访问平台上的哪些产品模块,按照最小可用原则进行授权。

下面分步骤进行说明:

Step1:角色管理

角色,相当于一个组,可以在将成员添加到角色中,并通过对角色授权,实现让大量用户继承角色权限的功能。在需要调整这些用户的权限时,也可以通过角色来批量进行。

入口:顶部导航右侧点击项目配置,在下拉菜单中选择项目中心,进入页面后,在左侧菜单中找到角色管理

系统会预置负责人管理员两个角色,管理员具备和负责人几乎相同的最高权限。

在角色管理页面,操作者按需添加符合自己团队现状的角色即可。特别的,如果需要使用“维度建模”产品,当前还需要手动添加名称为“数仓开发”和“数据团队管理者”的角色。“维度建模”目前通过角色名称老控制权限,具体可前往“维度建模”产品中查看。

这些角色在后续可以被赋予不同的数据权限、目录权限、队列权限、功能权限等。

Step2:成员管理

在该入口可实现将平台成员添加到当前项目,并授予相关角色的功能。

入口:在项目中心页面点击成员管理进入页面。

完成第一步角色管理后,可在成员管理中添加项目成员,成员列表来自本平台“成员账号管理”中,该成员由平台管理员负责维护。

添加成员时,可按照成员的实际的职能归属到不同的角色中。

下图为成员管理的列表:

下图为添加成员弹框:

Step3:功能权限

目前平台的功能权限的控制有2处,一处是项目中心-权限管理-功能权限,主要是对离线开发和任务运维2个产品的功能权限控制,另一处是安全中心-角色管理,主要是对其它子产品的权限控制。

本小节对离线开发和任务运维的权限控制进行说明,安全中心的权限控制在后续“Step”小节中说明。

项目中心页面展开权限管理菜单,点击功能权限进入页面。

功能权限指页面的访问,或者具体操作的权限。完成成员添加后,需要对成员设置相应的功能权限,以便控制不同用户可访问的页面范围。

针对不同的角色,可以在功能权限模块中设置不同的方案,并授权给不同角色或用户。这些角色下的用户或被直接授权的用户,可获得该方案所配置的功能权限。

如下图,为系统默认预置的默认方案。其中,默认方案一(不可编辑)会授权给项目负责人和管理员,该方案配置了项目下所有的功能权限。默认方案二(可编辑)会授权给被添加到项目中,但是没有添加到任何角色中的人员。因此,对于没有添加到任何角色的项目成员,也可以访问部分模块。

下列图为示例配置了一个数仓开发方案,并授权给数仓开发角色:

  1. 功能权限页面,点击顶部“添加按钮”

  2. 在弹框中,在方案名称处输入数仓开发,在授权对象处添加数仓开发角色,在数据开发&任务运维模块勾选需要配置的权限,此处的权限主要涉及离线开发任务运维公共资源 3个模块。

  1. 自助分析无需操作,目前仅保留代码执行的配置,其它权限需要在安全中心产品配置

  1. 数据管理模块配置需要的权限,此处的权限主要是对元数据及文件的操作权限,注意,这里的数据源,是本平台过去的一个老数据源,对于新客户可以忽略这部分的配置

  1. 项目配置模块中,仅选中“项目信息”选项即可,其它权限建议仅授权给平台管理者即可

Step4:数据权限

项目中心页面展开权限管理菜单,点击数据权限,会自动跳转至“安全中心”子产品。管理者可在页面上进行库表授权。

在当前案例下,将创建项目时申请的库,授权给“数仓开发”等角色。

Step5:目录权限

对于初始化场景下,可以不设置目录授权。未来平台HDFS路径扩展后,可以按需在“目录授权”进行授权。

比如,创建的Hive外部表,location到用户指定的非默认HDFS路径上,或者用户也会直接通过实时等方式在HDFS上创建文件,此时,需要将HDFS文件或路径,额外给某些角色,以便其可以读写或读对应的文件。目前,创建Hive内部表之后,对应的HDFS会自动给创建人授权所有权限,保证可正常操作Hive表。

配置的入口在在项目中心页面展开权限管理菜单,点击目录权限,会自动跳转至“安全中心”子产品。

Step6:队列权限

项目中心页面展开权限管理菜单,点击队列权限进入页面。

队列权限是对平台的Yarn队列或Impala队列资源进行授权的模块。在完成上述所有步骤之后,想要让平台用户真正能完成一个任务的开发,完成数据表的操作,则还需要获取任务运行的CPU和内存资源,即获取队列的权限。

项目负责人可将队列授权给具体的角色或人员。

下图为队列列表及授权页面:

总结

完成所有上述步骤后,获取权限的项目成员即可进行大数据平台的访问和任务的开发,具体可前往查看普通用户入门