创建了一个包含自定义处理器和一些默认处理器的进程组,并将其添加到存储桶中。
我想限制对此进程组的修改访问。
用户sys_admin可以将组添加到画布,并对其进行修改以及它的处理器。
用户test_user应该只能将其添加到画布上,而不能对其进行修改(或其处理器)。
但这不起作用。
用户test_user仅对存储桶具有读取权限。
但是test_user用户可以添加处理器组并进入并对其进行修改。
有什么办法可以限制存储桶级别的访问?
因此用户只能从存储桶中添加某些内容,而不能对其进行修改?
或者我可以对处理器组设置全局限制吗?
我基本上希望该处理器组仅由sys_admin用户修改。
感谢您的帮助!
答案 0 :(得分:1)
这里有两种不同的安全模型,一种在NiFi注册表侧,另一种在NiFi侧。
在NiFi注册中心,存储桶权限控制着谁可以读写存储桶。这仅与从存储桶中检索流或将新的流版本保存到存储桶有关。
在NiFi方面,进程组权限控制谁可以创建和修改组件。
由于test_user对注册表中的存储桶具有读取访问权限,因此他们可以将此流导入具有写入访问权限的NiFi中的任何进程组。导入后,他们可以在NiFi中执行任何操作,因为这些都是NiFi方面的本地更改,但是由于他们没有对NiFi的写入权限,因此无法将新版本保存回注册表。桶。
目前,我不确定是否有办法实现您的要求。可能需要分离一些权限。当前,能力导入流是基于对要导入的流程组具有写权限,但是写权限还意味着您可以修改该组中的任何内容。