Data Lake Analytics账号和权限体系详细介绍

一、Data Lake Analytics介绍

数据湖（Data Lake）是时下大数据行业热门的概念：https://en.wikipedia.org/wiki/Data_lake。基于数据湖做分析，可以不用做任何ETL、数据搬迁等前置过程，实现跨各种异构数据源进行大数据关联分析，从而极大的节省成本和提升用户体验。

阿里云数据湖分析产品Data Lake Analytics（简称DLA）：https://www.aliyun.com/product/datalakeanalytics
产品文档：https://help.aliyun.com/product/70174.html

下图是DLA的简易架构（MPP计算引擎+存储计算分离+弹性高可用+异构数据集源等）：

二、自建账号

目前DLA是以MySQL协议方式对外提供服务，用户需要通过JDBC连接，连到DLA服务。DLA内部的账号和密码是独立自建的（与RAM不同），对应的账号和密码信息，在用户开通DLA服务时以站内信、邮件、短信等方式通知您。

可能您会疑惑，为什么DLA不是以RAM或AK账号做认证和授权，而需要自建账号。在这里，做一些简单的介绍：

DLA是数据库，在客户端建立连接（需要认证）、访问库、表、字段（需要鉴权）时，大量跨服务访问RAM系统，会给RAM系统造成很大压力，且可能会影响DLA服务延时；
DLA是数据库，需要兼容MySQL权限模型，库、表、字段等领域对象很难一一映射到RAM体系；同时RAM下的资源对象的权限粒度可粗可细，且更多偏向于管理数据生命周期而非详细数据层面的权限；
用户习惯的Grant、Revoke、Show grants等逻辑，都是直接和传统数据库的库、表、字段一一映射。
参考了阿里云上及业界云服务平台上其他数据库产品的设计，存在一样的考量；

目前DLA账号体系与RAM账号体系的关系：

三、三种账号模型

Root/Service账号：RAM主账号在某个Region内开通DLA服务时，系统会自动创建第一个DLA账户，并以站内信、短信、邮件方式通知RAM主账号，Root账号只有一个，不能删除；
User/子账号：由RAM主账号后续在Console上创建的新的DLA的User账号（注意，不是由Root账号创建的），云账号用户可以创建、删除User账号，也可以为其修改密码等；
Product账号：其他云产品（比如DBS）与DLA交互时，由用户在RAM中为该云产品授权过，由DLA自动产生并派发给云产品的账号；
Root账号和User账号，关联的RAM uid都是对应的云账号，从而Root和User账号都有机会访问云账号所有的资源（当然，这都是在授权管理之内）；

四、账号实测操作

a）开通服务并初始化服务

找到服务：

购买：

开通完成，点击进入控制台：

为不同的Region初始化服务：

初始化完成，得到一个Root账号：

重新回到主页：https://openanalytics.console.aliyun.com/overview，设置服务访问点：

配置服务访问点

b）连接数据库并通过认证

连接DLA服务，并进入服务

##连接DLA服务，账号和密码都在您的收件箱内，服务访问点则在服务页面

[root]# mysql -u<您的dla用户名> -p<您的dla密码> -h<您的dla服务访问点> -P10000

## 进入DLA服务，开始测试之旅

mysql> show databases;

Empty set (0.09 sec)

到此，我们已经完成了服务开通过程，并认证和连接成功。

c）创建子账号，并连接数据库

连接DLA服务，并进入服务，也能正常工作了：

五、权限模型

DLA中有两层权限验证机制，确保您的数据被安全访问：

DLA层授权和校验校验，基于MySQL语法而定义和实现（Grant：https://dev.mysql.com/doc/refman/5.7/en/grant.html、Revoke：https://dev.mysql.com/doc/refman/5.7/en/revoke.html、Show Grants：https://dev.mysql.com/doc/refman/5.7/en/show-grants.html）
数据源和RAM层授权和校验，基于RAM的的访问控制而实现（比如OSS、TableStore等云原生产品）：https://help.aliyun.com/product/28625.html，或者基于数据源本身的权限校验（比如RDS，是自建账号，因而也有自建权限系统）
用户的SQL发送到DLA，做完DLA的权限校验后，再转发到后端数据源层，执行RAM层和数据源的权限校验，最后再真正访问到用户的数据；

a）DLA层校验原理

DLA是根据用户操作对象的范围“从大到小”验证的，从Global级（全局权限），到Schema级，再到Table级，最后到Column级（目前不支持）一层层验证权限。任何一层有权限校验成功，到最后一层也没权限时校验失败：

b）DLA层授权方法

基本上参考了MySQL的Grant/Revoke/Show Grants语法来实现：

##grant相关

GRANT {SELECT | SHOW | ALTER | DROP | CREATE | INSERT | UPDATE | DELETE | GRANT OPTION | ALL | ALL PRIVILEGES | USAGE }

ON {* | *.* | xxDb.* | xxDb.yyTable | yyTable }

TO { oa_1234546 | 'oa_123456' | 'oa_123456'@'1.2.3.4'}

[with grant option]

##revoke相关

REVOKE {SELECT | SHOW | ALTER | DROP | CREATE | INSERT | UPDATE | DELETE |GRANT OPTION |  ALL | ALL PRIVILEGES | USAGE}

ON {* | *.* | xxDb.* | xxDb.yyTable  | yyTable }

FROM { oa_1234546 | 'oa_123456' | 'oa_123456'@'1.2.3.4'}

##show grants相关

SHOW GRANTS

[for [ current_user | current_user() | oa_123456 | 'oa_123456' | 'oa_123456'@'localhost'] ]

六、权限实测操作（以TableStore为案例）

a）准备TableStore的库表

我们来到OTS的首页，https://ots.console.aliyun.com/index，创建希望DLA做分析的库和表：

库建完后，去建表

插入一行数据

b）开通TableStore给DLA的云服务角色授权

关于访问控制和角色授权等信息，请参考：https://help.aliyun.com/product/28625.html

回到DLA主页：https://openanalytics.console.aliyun.com/overview

点击同意授权：

授权完成之后的状态：

查看角色授权已经成功：

c）在DLA中创建库和表，关联TableStore库和表

我们重新回到DLA Root账号（oa_xxx），通过JDBC协议连接到DLA（账号信息、DLA访问点、JDBC连接方式，请参考前面文档）

╰─○ mysql -u<您的DLA Root账号> -p<您的DLA Root账号的密码> -h<您的DLA-jdbc访问点> -P10000 

mysql: [Warning] Using a password on the command line interface can be insecure.

Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 194631

Server version: 5.6.40-log Source distribution

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

开始创建库，去关联TableStore中的实例：

mysql> select user();

+----------------+

| user()         |

+----------------+

| oa_xxxxxxxxxxx |

+----------------+

1 row in set (0.08 sec)

mysql> show databases;                                                                                                                                                                                      Empty set (0.02 sec)

mysql> create database ots_account_test

with dbproperties(

  catalog = 'ots',

  location = 'https://account-test.cn-shanghai.ots-internal.aliyuncs.com',

 instance = 'account-test'

) comment 'test account and privileges';

Query OK, 0 rows affected (0.10 sec)

mysql> show databases;

+------------------+

| Database         |

+------------------+

| ots_account_test |

+------------------+

1 row in set (0.01 sec)

mysql> show create database ots_account_test;

+------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| Database         | Create Database                                                                                                                                                                                                       |

+------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| ots_account_test | CREATE DATABASE `ots_account_test`

WITH DBPROPERTIES (

    catalog = 'ots',

    location = 'https://account-test.cn-shanghai.ots-internal.aliyuncs.com',

    instance = 'account-test'

)

COMMENT 'test account and privileges' |

+------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

1 row in set (0.03 sec)

开始创建表，去关联TableStore中的表，并查询数据（结果与OTS中的结果一致）：

mysql> use ots_account_test;

Database changed

mysql> show tables;

Empty set (0.03 sec)

mysql> create external table account_test (

    -> pk1 int not null primary key,

    -> name varchar(20)

    -> );

Query OK, 0 rows affected (0.15 sec)

mysql> show create table account_test;

+--------------+-----------------------------------------------------------------------------------------------------------------------------------------------+

| Table        | Create Table                                                                                                                                  |

+--------------+-----------------------------------------------------------------------------------------------------------------------------------------------+

| account_test | CREATE EXTERNAL TABLE `account_test` (

    `pk1` int NOT NULL COMMENT '',

    `name` varchar(20) NULL COMMENT '',

    PRIMARY KEY (`pk1`)

)

COMMENT '' |

+--------------+-----------------------------------------------------------------------------------------------------------------------------------------------+

1 row in set (0.04 sec)

mysql> select * from account_test;

+------+--------------+

| pk1  | name         |

+------+--------------+

|  123 | account-test |

+------+--------------+

1 row in set (1.61 sec)

至此，我们已经成功完成了数据关联并实现数据查询的过程！！

d）把库和表授权给子账号来访问

上诉都是Root账号在操作，从前面的分析可知，Root账号是可以操作对应云账号所有的云资源的，但是DLA的User账号却不行，必须通过Root账号给User账号Grant权限，DLA才能允许某个User账号访问对应的库和表：

切换到User账号/子账号连接页面，此时看不到任何库表：

mysql> select user();

+------------------------+

| user()                 |

+------------------------+

| test_sxxxxxxxxxxxxxxxx |

+------------------------+

1 row in set (0.14 sec)

mysql> show databases;

Empty set (0.02 sec)

mysql> show grants ;

+------------------------------------------------+

| Grants for test_sxxxxxxxxxxxxxxxx              |

+------------------------------------------------+

| GRANT USAGE ON *.* TO 'test_sxxxxxxxxxxxxxxxx' |

+------------------------------------------------+

1 row in set (0.03 sec)

切换Root账号连接页面，我们给前面的账号授权：

mysql> select user();

+------------------------+

| user()                 |

+------------------------+

| oa_xxxxxxxxxxx |

+------------------------+

1 row in set (0.14 sec)

mysql> show grants for test_sxxxxxxxxxxxxxxxx;

+---------------------------------------------------------------+

| Grants for test_sxxxxxxxxxxxxxxxx                             |

+---------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'test_sxxxxxxxxxxxxxxxx'                |

+---------------------------------------------------------------+

1 rows in set (0.02 sec)

mysql> grant all on ots_account_test.* to test_sxxxxxxxxxxxxxxxx;

Query OK, 0 rows affected (0.05 sec)

mysql> show grants for test_sxxxxxxxxxxxxxxxx;

+---------------------------------------------------------------+

| Grants for test_sxxxxxxxxxxxxxxxx                             |

+---------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'test_sxxxxxxxxxxxxxxxx'                |

| GRANT ALL ON `ots_account_test`.* TO 'test_sxxxxxxxxxxxxxxxx' |

+---------------------------------------------------------------+

2 rows in set (0.03 sec)

切换User账号连接页面，重新查询看看，已经有权限了，并且可以读取数据：

mysql> select user();

+------------------------+

| user()                 |

+------------------------+

| test_sxxxxxxxxxxxxxxxx |

+------------------------+

1 row in set (0.14 sec)

mysql> show grants ;

+---------------------------------------------------------------+

| Grants for test_sxxxxxxxxxxxxxxxx                             |

+---------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'test_sxxxxxxxxxxxxxxxx'                |

| GRANT ALL ON `ots_account_test`.* TO 'test_sxxxxxxxxxxxxxxxx' |

+---------------------------------------------------------------+

2 rows in set (0.02 sec)

mysql> show databases;

+------------------+

| Database         |

+------------------+

| ots_account_test |

+------------------+

1 row in set (0.02 sec)

mysql> select * from ots_account_test.account_test;

+------+--------------+

| pk1  | name         |

+------+--------------+

|  123 | account-test |

+------+--------------+

1 row in set (0.43 sec)

至此，子账号授权访问就可以了！

e）支持跨账号访问

一般情况，用户大部分使用DLA的场景是，云账号A使用DLA访问云账号A在其他云产品中的数据，从前面的分析可以知道，只要用户在DLA的console上选择具体的数据源（比如TableStore）给DLA做系统角色授权之后，就可以打通数据源，创建库表和查询数据了。

但是，还有一种场景是：云账号A使用DLA来访问云账号B在其他云产品（以下以TableStore）中的数据，这需要专门的角色授权才能正常运行：

假设上述测试账号对应的云账号为A，下面就以TableStore和另一个云账号B（DLA另一个真实的测试云账号）作为案例，演示B账号给A账号针对TableStore中某个instance做跨账号授权，并且A在DLA中完成查询的过程。

首先，需要到B账号内，在"访问控制（https://ram.console.aliyun.com）"中创建一个跨账号授权的角色：

选择一个“服务角色”，选择一个合适的模板，快速创建：

重新回到角色管理页面，找到这个角色做修改（修改成支持DLA的模板）：

跨账号的角色创建和修改完成，开始做“角色授权策略”的配置，这里我们以TableStore为例，其他数据源类似：

跨账号角色定义，以及角色授权都操作完成，我们开始进入DLA的实际测试，首先查看云账号B的TableStore中的instance和table的情况：

重新使用云账号A的DLA Root账号，通过MySQL-cli连接到DLA，然后连接和访问云账号B的数据：

mysql> select user();

+----------------+

| user()         |

+----------------+

| oa_xxxxxxxxxxx |

+----------------+

1 row in set (0.06 sec)

mysql> show databases;

+------------------+

| Database         |

+------------------+

| ots_account_test |

+------------------+

1 row in set (0.24 sec)

mysql> create database ots_cross_account_test

with dbproperties(

  catalog = 'ots',

  location = 'https://test-sh.cn-shanghai.ots-internal.aliyuncs.com', --云账号B的TableStore instance

  instance = 'test-sh',

  cross_account_accessing_arn= 'acs:ram::1013xxxxxx:role/test-cross-account-accessing-role'  --云账号B为云账号A@云服务DLA的跨账号角色授权时的Arn信息

);

Query OK, 0 rows affected (0.14 sec)

mysql> show databases ;

+------------------------+

| Database               |

+------------------------+

| ots_account_test       |

| ots_cross_account_test |

+------------------------+

2 rows in set (0.18 sec)

mysql> show create database ots_cross_account_test;

+------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| Database               | Create Database                                                                                                                                                                                                                                                                           |

+------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| ots_cross_account_test | CREATE DATABASE `ots_cross_account_test`

WITH DBPROPERTIES (

    catalog = 'ots',

    location = 'https://test-sh.cn-shanghai.ots-internal.aliyuncs.com',

    instance = 'test-sh',

    cross_account_accessing_arn = 'acs:ram::1013xxxxxx:role/test-cross-account-accessing-role'

)

COMMENT '' |

+------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

1 row in set (0.19 sec)

mysql> use ots_cross_account_test;

Database changed

mysql> show tables;

Empty set (0.19 sec)

mysql> create external table test_table1 (

  id1 int not null primary key,

  col1 int

);

Query OK, 0 rows affected (0.31 sec)

mysql> show tables;

+-------------+

| Table_Name  |

+-------------+

| test_table1 |

+-------------+

1 row in set (0.20 sec)

mysql> show create table test_table1;

+-------------+--------------------------------------------------------------------------------------------------------------------------------------+

| Table       | Create Table                                                                                                                         |

+-------------+--------------------------------------------------------------------------------------------------------------------------------------+

| test_table1 | CREATE EXTERNAL TABLE `test_table1` (

    `id1` int NOT NULL COMMENT '',

    `col1` int NULL COMMENT '',

    PRIMARY KEY (`id1`)

)

COMMENT '' |

+-------------+--------------------------------------------------------------------------------------------------------------------------------------+

1 row in set (0.20 sec)

mysql> select * from test_table1;

+--------+------+

| id1    | col1 |

+--------+------+

|      0 | -111 |

| 111111 |  111 |

+--------+------+

2 rows in set (1.29 sec)

顺便提醒一下，普通的建库流程中是不需要cross_account_accessing_arn参数的，意味着默认是云账号自己给自己开通了DLA访问云服务的权限，而有了cross_account_accessing_arn参数，就表示跨账号服务的开启，这个DLA中的库以及库下面的表，都有了跨账号访问的权限！！

到这里，我们跨账号访问的全过程就完成啦！！如果你希望连接OSS等云服务，你也可以按照上述流程操作一遍！！

原文链接
更多技术干货请关注阿里云云栖社区微信号：yunqiinsight