创建了一个包含自定义处理器和一些默认处理器的进程组并将其添加到存储桶中。
我想限制对此进程组的修改访问。
用户 sys_admin 可以将组添加到画布并修改它及其处理器。
用户 test_user 应该只能将其添加到画布而不能修改它(或它的处理器)。
但这不起作用。
用户 test_user 仅对存储桶具有读取权限。
但是用户 test_user 可以添加处理器组并进去修改它。
有没有办法在存储桶级别限制访问?
所以用户只能从存储桶中添加一些东西,但不能修改它?
或者我可以对处理器组设置全局限制吗?
我基本上希望这个处理器组只能由 sys_admin 用户修改。
任何帮助表示赞赏!
这里有两种不同的安全模型,一种在 NiFi Registry 端,一种在 NiFi 端。
在 NiFi Registry 方面,存储桶权限控制谁可以读取和写入存储桶。这仅与从存储桶中检索流或将新流版本保存到存储桶有关。
在 NiFi 方面,进程组权限控制谁可以创建和修改组件。
由于 test_user 对注册表中的存储桶具有读取权限,因此他们可以将此流导入 NiFi 中他们具有写入权限的任何进程组。一旦他们导入它,他们就可以在 NiFi 中做任何他们想做的事情,因为这些都是 NiFi 端的本地更改,但他们将无法将新版本保存回注册表,因为他们没有写入权限桶。
目前我不确定是否有办法实现您的要求。它可能需要分离一些权限。目前,导入流的能力基于对要将其导入到的进程组具有写入权限,但写入权限也意味着您可以修改该组中的任何内容。