DLI細粒度授權

DLI服務不僅在服務本身有一套完善的權限控制機制，同時還支持通過統一身份認證服務（Identity and Access Management，簡稱IAM）細粒度鑒權，可以通過在IAM創建策略來管理DLI的權限控制。

通過IAM，您可以在云賬號中給員工創建IAM用戶，并使用策略來控制他們對云資源的訪問范圍。例如您的員工中有負責軟件開發的人員，您希望他們擁有DLI的使用權限，但是不希望他們擁有刪除DLI等高危操作的權限，那么您可以使用IAM為開發人員創建用戶，通過授予僅能使用DLI，但是不允許刪除DLI的權限策略，控制他們對DLI資源的使用范圍。

                    
說明
                    
對于新建的用戶，需要先登錄一次DLI，記錄元數據，后續才可正常使用。
                    
                  
                  

IAM是云提供權限管理的基礎服務，無需付費即可使用，您只需要為您賬號中的資源進行付費。

如果云賬號已經能滿足您的需求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用DLI服務的其他功能。

DLI系統權限

如下表DLI系統權限所示，包括了DLI的所有系統權限。

權限類別：根據授權精程度分為角色和策略。

• 角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
• 策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對DLI服務，管理員能夠控制IAM用戶僅能對某一類云主機資源進行指定的管理操作。

如何理解DLI分區表的列賦權

用戶無法對分區表的分區列進行權限操作，當用戶對分區表的任意一列非分區列有權限，則默認對分區列有權限。當查看用戶在分區表上的權限的時候，不會顯示對分區列有權限。