Авторизация

CedrusData Catalog использует ролевую модель для организации доступа к объектам каталога.

Привилегия определяет разрешенную операцию над объектом каталога. Роль объединяет одну или несколько привилегий. Пользователи получают доступ к объектам посредством назначения одной или нескольких ролей.

Примечание

В настоящее время CedrusData Catalog поддерживает только две предопределенные роли builtin.admin и builtin.iceberg-catalog.data-owner, описанные ниже. В ближайших релизах будет добавлена возможность создания новых ролей с произвольным списком привилегий.

Объекты

Объектами каталога являются:

• principal — пользователь

• role — роль пользователя

• access-token — постоянный токен доступа пользователя

• file-system — файловая система (S3 ил HDFS)

• iceberg-catalog — каталог Apache Iceberg

• iceberg-namespace — namespace Apache Iceberg

• iceberg-table — таблица Apache Iceberg

• iceberg-view — виртуальное представление Apache Iceberg

Привилегии

Привилегия определяет разрешенную операцию над объектом каталога. Ниже приведен список привилегий каталога.

Привилегии объекта principal

Название	Описание
principal.create	Создание нового пользователя.
principal.update	Изменение пользователя.
principal.delete	Удаление пользователя.
principal.get	Получение информации о пользователе.
principal.list	Получение списка пользователей.

Привилегии объекта role

Название	Описание
role.grant	Возможность назначить роль пользователю.
role.revoke	Возможность отозвать роль пользователя.

Привилегии объекта access-token

Название	Описание
access-token.create	Создание нового постоянного токена доступа для себя или другого пользователя.
access-token.create-temporary	Создание нового временного токена доступа для себя или другого пользователя.
access-token.delete	Удаление постоянного токена доступа для себя или другого пользователя.
access-token.list	Получение списка постоянных токенов доступа пользователей.

Привилегии объекта file-system

Название	Описание
file-system.create	Создание новой файловой системы.
file-system.update	Изменение файловой системы.
file-system.delete	Удаление файловой системы.
file-system.check	Возможность вызова команды file-system check для проверки работоспособности файловой системы.
file-system.get	Получение информации о файловой системе.
file-system.list	Получение списка файловых систем.

Привилегии объекта Iceberg

Название	Описание
iceberg-catalog.create	Создание нового каталога Iceberg.
iceberg-catalog.update	Изменение каталога Iceberg.
iceberg-catalog.delete	Удаление каталога Iceberg.
iceberg-catalog.get	Получение информации о каталоге Iceberg.
iceberg-catalog.list	Получение списка каталогов Iceberg.
iceberg-namespace.create	Создание нового namespace Iceberg.
iceberg-namespace.update	Изменение namespace Iceberg.
iceberg-namespace.delete	Удаление namespace Iceberg.
iceberg-namespace.list	Получение списка Iceberg namespace.
iceberg-namespace.get	Получение информации об Iceberg namespace.
iceberg-table.create	Создание новой таблицы Iceberg.
iceberg-table.register	Регистрация существующей таблицы Iceberg в каталоге.
iceberg-table.update	Изменение таблицы Iceberg.
iceberg-table.delete	Удаление таблицы Iceberg.
iceberg-table.list	Получение списка таблиц Iceberg.
iceberg-table.get	Получение информации о таблице Iceberg.
iceberg-view.create	Создание нового виртуального представления Iceberg.
iceberg-view.update	Изменение виртуального представления Iceberg.
iceberg-view.delete	Удаление виртуального представления Iceberg.
iceberg-view.list	Получение списка виртуальных представлений Iceberg.
iceberg-view.get	Получение информации о виртуальном представлении Iceberg.

Роли

CedrusData Catalog поддерживает две встроенные роли: builtin.admin и builtin.iceberg-catalog.data-owner. Поддержка создания ролей с другими привилегиями будет доступна в ближайших версиях продукта.

Роль builtin.admin

Роль builtin.admin обладает всеми привилегиями. Используйте данную роль для выполнения любых операций над каталогом.

Роль builtin.iceberg-catalog.data-owner

Роль builtin.iceberg-catalog.data-owner позволяет пользователю получать информацию о каталогах Iceberg, а также создавать и удалять объекты внутри каталога. При этом роль не разрешает создание, изменение или удаление каталогов. Так как работа с каталогом Iceberg происходит путем создания временных токенов доступа, данная роль также позволяет создавать временные токены доступа.

Полный список привилегий (распространяется на все каталоги Iceberg):

• access-token.create-temporary

• iceberg-catalog.get

• iceberg-namespace.create

• iceberg-namespace.update

• iceberg-namespace.delete

• iceberg-namespace.list

• iceberg-namespace.get

• iceberg-table.create

• iceberg-table.register

• iceberg-table.update

• iceberg-table.delete

• iceberg-table.list

• iceberg-table.get

• iceberg-view.create

• iceberg-view.update

• iceberg-view.delete

• iceberg-view.list

• iceberg-view.get