DataWorks的數據訪問控制,為您提供了訪問MaxCompute引擎數據時的權限管控能力,包括權限申請、權限審批、權限審計,還支持您查看權限申請記錄、權限審批記錄。本文為您介紹MaxCompute數據訪問權限管控。
背景信息
在DataWorks標準模式中,空間成員擁有與開發環境綁定的MaxCompute項目內所有數據的讀取權限,詳情請參見MaxCompute引擎在不同模式工作空間訪問資源與權限說明。
若您需要使用DataWorks空間下與生產環境綁定的MaxCompute項目內的資源與函數,可參考本文檔,通過DataWorks安全中心申請生產環境綁定的MaxCompute項目的表數據、資源、函數的訪問控制權限。
在標準工作空間模式中,DataWorks處理生產環境的項目時,默認不會在MaxCompute的項目角色中添加成員。
權限申請者在申請開發環境的MaxCompute的表數據、資源、函數后,需經過審批者通過后方可使用。
前提條件
已添加MaxCompute數據源,若未添加詳情請參見:創建MaxCompute數據源。
已了解簡單模式和標準模式的區別。
權限申請支持MaxCompute數據源的表權限、資源權限以及函數權限的申請。
開發環境和生產環境的MaxCompute項目,需要先在MaxCompute控制臺開啟列級訪問控制,才可以在安全中心對表中的字段申請權限,詳情請參見:Label權限控制。
數據訪問權限管控流程
應用場景
場景 | |
同工作空間內,開發環境用戶訪問生產環境表、資源或函數。 | 當DataWorks的子賬號未被添加為生產環境計算引擎訪問身份時,默認該賬號無法在數據開發界面直接操作本工作空間的生產表,如果子賬號需要擁有生產表權限,需要在安全中心發起申請,待審批通過后,便可在數據開發界面對表進行相關操作。 |
開發或生產環境用戶訪問跨工作空間的開發或生產環境表、資源或函數。 | 默認不在工作空間下的子賬號無法在數據開發界面跨項目訪問開發表或生產表。如果需要跨項目操作開發表或生產表,子賬號需要在安全中心發起申請,待審批通過后,便可在數據開發界面對表進行相關操作。 |
權限申請流程
數據訪問控制功能支持您進行權限申請、權限審批、權限審計的操作,還支持您查看權限申請記錄、權限審批記錄。在RAM用戶(子賬號)開發過程中沒有相關表權限的場景下,可以通過權限申請界面申請對應權限。待審批人員(空間管理員或者表Owner)在權限審批頁面通過申請后,便可獲得權限。
DataWorks的安全中心為您提供默認的權限申請審批流程,同時也支持您在審批中心自定義審批流程。當您申請MaxCompute引擎表字段權限時,DataWorks會根據申請的表字段來識別需要進行哪種類型的審批流程。
資源與函數權限申請,不支持自定義審批與權限審計管理。
步驟一:進入數據訪問控制
登錄DataWorks控制臺,切換至目標地域后,單擊左側導航欄的 ,在右側頁面中單擊進入安全中心。
步驟二:權限申請
在數據訪問控制頁面進行權限申請,需要配置申請內容與申請信息兩個模塊的信息。詳情請參見以下表格:
資源與函數權限申請,不支持自定義審批與權限審計管理。
表權限申請
進入權限申請頁面。
選擇要申請的表。
在申請內容區域,選擇數據源類型為MaxCompute,并選擇目標工作空間及項目。
在待添加表區域,勾選需要申請的目標表。
勾選目標表后,右側會顯示目標表的相關信息。單擊表名稱前 圖標,顯示當前表的所有字段,您可以選擇申請目標表的部分或全部字段的權限。默認申請目標表全部字段的權限。
說明開發環境和生產環境的MaxCompute項目,需要先在MaxCompute控制臺開啟列級訪問控制,才可以在安全中心對表中的字段申請權限,詳情請參見:Label權限控制。
目前支持申請列表級別的Select、Update權限,和表級別的Describe、Drop、Alter、Select、Update權限。同時支持您針對單個字段單獨申請字段權限。如果您成功申請表級別的Select、Update權限,則表中新增列時,會自動繼承Select、Update權限。
配置申請信息。
參數
描述
使用者
選擇需要為誰申請目標表權限。
當前登錄賬號:表示為當前登錄DataWorks工作空間的阿里云賬號申請目標表權限。
調度訪問賬號:表示為被設置為調度訪問身份的RAM用戶(子賬號)申請目標表權限。
代他人申請:表示當前登錄DataWorks工作空間的阿里云賬號為其他阿里云賬號申請目標表權限。選擇該選項時,需要配置用戶名參數。
工作空間
當使用者配置為調度訪問賬號時,需要選擇在哪個工作空間使用目標表。
申請時長
支持您按需自定義申請表權限的時長,過期權限將自動收回。
說明使用此功能前需要表所在的MaxCompute項目開啟Policy授權,詳情請參見:MaxCompute數據權限控制詳情,關于MaxCompute Policy的說明請參見:Policy權限控制。
申請原因
輸入申請目標表權限的原因。
單擊申請權限,提交申請。
您可以在權限申請記錄頁簽,查看當前申請的審批詳情及審批記錄。
資源權限申請
申請配置項 | 配置說明 | 圖示 | |
申請內容 | 申請類型 |
| |
數據源類型 | 默認為MaxCompute,無法修改。 | ||
工作空間 | 選擇需要申請資源所在的工作空間。 | ||
項目 | 資源所在的工作空間綁定的MaxCompute項目。 | ||
資源名稱 | 需要申請權限的資源。 | ||
申請信息 | 使用者 | 選擇需要為誰申請目標資源權限。
| |
申請時長 | 支持您按需自定義申請資源權限的時長,過期權限將自動回收。 | ||
申請原因 | 輸入申請目標資源權限的原因。 |
配置完成后,單擊申請權限,提交申請。
您可以在權限申請記錄頁簽,查看當前申請的審批詳情及審批記錄。
函數權限申請
申請配置項 | 配置說明 | 圖示 | |
申請內容 | 申請類型 |
| |
數據源類型 | 默認為MaxCompute,無法修改。 | ||
工作空間 | 選擇需要申請函數所在的工作空間。 | ||
項目 | 函數所在的工作空間綁定的MaxCompute項目。 | ||
函數名稱 | 需要申請權限的函數名稱。 | ||
申請信息 | 使用者 | 選擇需要為誰申請目標函數權限。
| |
申請時長 | 支持您按需自定義申請表權限的時長,過期權限將自動回收。 | ||
申請原因 | 輸入申請目標函數權限的原因。 |
配置完成后,單擊申請權限,提交申請。
您可以在權限申請記錄頁簽,查看當前申請的審批詳情及審批記錄。
步驟三:權限審批
查看待審批的申請。
進入權限審批頁面,您可以根據申請賬號、申請時間、工作空間、項目名稱、對象名稱等條件進行篩選,查看目標條件下,當前登錄的阿里云賬號名下需要審批的申請信息。
說明同一個申請單提交的多張表權限申請,會按照表Owner的不同自動拆分成多個申請單。
查看審批詳情。
單擊目標申請操作列的審批,您可以在審批詳情對話框查看目標申請的申請詳情、審批記錄等詳細信息。
審批申請。
根據申請的詳細內容及當前需求判斷是否同意審批該申請,填寫審批意見,選擇同意或拒絕當前申請。
您也可以直接在權限審批頁面,勾選全部申請,單擊批量同意或批量拒絕,填寫審批意見,批量處理目標申請。
查看權限申請及審批記錄
查看權限申請記錄:您可以根據審批狀態、申請時間、工作空間等條件進行篩選,查看當前登錄的阿里云賬號名下涉及的申請記錄。
您還可以單擊目標申請操作列的查看詳情,查看申請的詳細信息。同時,對于審批狀態為審批中的申請,您可以繼續后續的審批操作。
查看權限審批記錄:您可以根據申請賬號、審批結果、工作空間等條件進行篩選,查看當前登錄的阿里云賬號的審批記錄。
您還可以單擊目標申請操作列的查看詳情,查看申請的詳細信息。