什么是跨源認證？

跨源(yuan)(yuan)分析場景中(zhong)，如果在作(zuo)業中(zhong)直接配置認(ren)(ren)證信息(xi)會觸發密碼泄露(lu)的(de)風險，因此推(tui)薦您使(shi)用“數據加密服務DEW”或“DLI提(ti)供的(de)跨源(yuan)(yuan)認(ren)(ren)證方式”來(lai)存儲數據源(yuan)(yuan)的(de)認(ren)(ren)證信息(xi)。

• 數據加密服務（Data Encryption Workshop, DEW）是一個綜合的云上數據加密服務，為您解決數據安全、密鑰安全、密鑰管理復雜等問題。推薦使用數據加密服務DEW來存儲數據源的認證信息。
• 跨源認證用于管理訪問指定數據源的認證信息。配置跨源認證后，無需在作業中重復配置數據源認證信息，提高數據源認證的安全性，便于DLI安全訪問數據源。

本節操(cao)作為(wei)您介紹DLI提供的(de)跨源認證的(de)使用方法(fa)。

約束與限制

• 僅Spark SQL、和Flink OpenSource SQL 1.12版本的作業支持使用跨源認證。
• DLI支持四種類型的跨源認證，不同的數據源按需選擇相應的認證類型。

?CSS類(lei)型跨源認證：適用于“6.5.4”及以上版(ban)本的CSS集(ji)群(qun)且(qie)集(ji)群(qun)已開(kai)啟安(an)全模式。

?Kerberos類型的(de)跨源認證：適用于開(kai)啟Kerberos認證的(de)MRS安全(quan)集群。

?Kafka_SSL類型的(de)跨源認證(zheng)：適用于開啟(qi)SSL的(de)Kafka。

?Password類(lei)型的(de)跨源認(ren)證：適用于(yu)DWS、RDS、DDS、DCS數據源。。

跨源認證類型

DLI支持四(si)種類型(xing)的(de)跨(kua)源認證，不同的(de)數據源按需選擇相應(ying)的(de)認證類型(xing)。

• CSS類型跨源認證：適用于“6.5.4”及以上版本的CSS集群且集群已開啟安全模式。配置時需指定集群的用戶名、密碼、認證證書，通過跨源認證將以上信息存儲到DLI服務中，便于DLI安全訪問CSS數據源。詳細操作請參創建CSS類型跨源認證。
• Kerberos類型的跨源認證：適用于開啟Kerberos認證的MRS安全集群。配置時需指定MRS集群認證憑證，包括“krb5.conf”和“user.keytab”文件。詳細操作請參考創建Kerberos跨源認證。
• Kafka_SSL類型的跨源認證：適用于開啟SSL的Kafka，配置時需指定KafkaTruststore路徑和密碼。詳細操作請參考創建Kafka_SSL類型跨源認證。
• Password類型的跨源認證：適用于DWS、RDS、DDS、DCS數據源，配置時將數據源的密碼信息存儲到DLI。詳細操作請參考創建Password類型跨源認證。

支持跨源認證的數據源與作業類型

不(bu)同(tong)類型的(de)作業支(zhi)持跨源(yuan)認(ren)(ren)證的(de)數據源(yuan)與認(ren)(ren)證方式不(bu)同(tong)。

• Spark SQL支持跨源認證的數據源與約束限制請參考下表“Spark SQL支持跨源認證的數據源”。
• Flink SQL 支持跨源認證的數據源與約束限制請參考下表“Flink SQL支持跨源認證的數據源”。

Spark SQL支持跨源認證的數據源

Flink SQL支持跨源(yuan)(yuan)認證的數據(ju)源(yuan)(yuan)

表(biao)類型
跨源認(ren)證類型
數(shu)據源
約(yue)束與限制
源(yuan)表
Kerberos
Kafka
MRS Kafka開啟(qi)Kerberos認證。
Kafka_SSL
Kafka
DMS Kafka開啟SASL_SSL認證。
MRS Kafka開(kai)啟SASL認證。
MRS Kafka開啟SSL認證。
結果表(biao)
Kerberos
HBase
MRS安全集群已開啟Kerberos認(ren)證。
Kafka
MRS Kafka開啟Kerberos認證(zheng)。
Kafka_SSL
Kafka
DMS Kafka開啟SASL_SSL認證。
MRS Kafka開(kai)啟SASL認證。
MRS Kafka開啟SSL認證。
Password
DWS、RDS、CSS
-
維表
Password
RDS、Redis
-