租戶隔離

Dataphin支持租戶的概念，不同租戶之間的數據、任務、成員、權限是完全隔離的，只能通過跨租戶發布進行數據和任務的流通。常見的情況有以下兩種：

• 兩套獨立部署的，物理隔離的Dataphin。如兩家完全不同的企業之間的Dataphin，或者一家企業的測試環境和生產環境獨立部署兩套Dataphin。

• 同一套部署下，邏輯隔離的兩個Dataphin租戶。如一家擁有多個業態的集團型企業，為每個業務單獨開啟一個租戶。

項目隔離

• 同一個租戶內，可以使用項目對數據開發人員、數據任務、數據表進行管理。

• Dataphin不同項目之間的成員和數據是在初始狀態下是隔離的，無法跨項目使用數據，最大程度的保證數據的安全性。如果因為業務需要訪問某個項目的數據，可以申請項目所產出表的權限，或者申請加入到對應的項目中去。

• 這和租戶隔離是不同的，租戶之間是不能互相訪問的，但是不同項目之間，可以通過權限的申請或授權進行相互的訪問。

除了基礎的人員和數據權限隔離外，還有下面兩個安全配置：

• 跨項目安全模式：禁止跨項目DDL，只能在當前項目內進行表的創建和修改等，管理權限更明確。

• 讀寫權限申請開關：如果項目有非常敏感的數據，不希望被項目外的成員讀寫，可以關閉讀寫權限的申請功能，更好保護敏感數據。

項?成員角色分配

Dataphin支持通過項目角色管理不同項目成員可執行的操作及查看的數據范圍；添加項目成員時，需要為每個成員分配對應項目角色，不同角色享有不同的功能權限和數據權限，合理配置項目成員角色可以有效防止敏感數據泄露或越權操作等場景。支持更改成員角色或移除成員，更改角色后對應的權限范圍立刻跟隨修改；移除成員前，需要手動一鍵轉交該賬號負責的對象，避免影響后續的權限申請審批或編輯等操作。

Dataphin提供內置項目角色，包括：

• 項目管理員

  擁有管理項目成員的權限、項目文件（含規范建模對象）增刪改及發布權限、項目節點操作權限。數據操作權限中擁有本項目所有物理表的開發權限，跨項目權限以租戶安全權限策略為準。

• 項目訪客

  擁有項目文件（含規范建模對象）查看權限、項目內任務節點查看權限。無項目內對象的數據權限，需要單獨申請；跨項目數據訪問權限以租戶安全權限策略為準。

• 數據訪客

  擁有項目文件（含規范建模對象）查看權限、項目內任務節點查看權限。數據操作權限中擁有本項目所有物理表的查詢權限，跨項目權限以租戶安全權限策略為準。

• 分析師（僅單環境項目或開發項目可配置）

  擁有項目文件（含規范建模對象）查看權限、項目即席查詢文件增刪改權限、項目內任務節點查看權限。數據操作權限中擁有本項目所有物理表的查詢權限和本項目建表權限，跨項目權限以租戶安全權限策略為準。

• 開發者（僅單環境項目或開發項目可配置）

  擁有項目文件（含規范建模對象）增刪改權限、提交發布以更新生產調度并監控運維權限（Basic模式）、項目節點操作權限。數據操作權限中擁有本項目所有物理表的開發權限，跨項目權限以租戶安全權限策略為準。

• 運維（僅單環境項目或生產項目可配置）

  擁有將項目文件從Dev發布至Prod權限（Dev-Prod模式）、項目內任務節點操作權限。數據操作權限中擁有本項目所有物理表的開發權限，跨項目權限以租戶安全權限策略為準。

此外，為了支持更細粒度、更靈活的項目角色權限管理，Dataphin支持自定義配置項目角色并為其分配相關權限，可以定制的內容包括下面的內容：

• 規劃：包括是否可以管理項目內的成員、是否可以配置項目信息和業務實體等。

• 集成：數據集成相關功能的查看、編輯、執行權限。

• 開發：數據開發相關功能的查看、編輯、執行權限。

• 項目數據資產：包括是否可以通過角色獲取當前項目內數據資產（如物理表、邏輯表）的各種權限（查表數據、改表數據、刪除表等）；數據資產權限通常是需要自定義項目角色的關鍵點，建議按照最小需求范圍配置。

• 發布運維：包括是否可以查看、發布、移除對象，是否可以執行運維操作或修改資源配置等；需要特殊說明的是，開發項目角色的運維功能僅在開發環境的運維模塊生效；如果需要操作已上線的生產任務，需要在生產項目有運維相關的權限。

生產開發隔離

Dataphin提供了不同等級的生產開發安全隔離的方案，隔離等級從低到高的方案為：

• 無生產開發隔離：基礎的非隔離的模式運行。這種基礎模式一般適用于對項目生產開發隔離無強訴求，對系統資源消耗成本有負擔的用戶。

• 同租戶下的邏輯隔離。業務板塊及項目使用生產開發隔離的模式。這種模式可通過發布的管控控制開發和生產環境，更好的保障生產的變更的安全以及數據的安全。通常情況下，建議至少開啟業務板塊及項目的生產開發隔離模式，做到生產開發完全的數據隔離管控。同時為了更好保護生產數據，還支持設置生產數據安全模式，開啟后將不能在開發環境對生產環境進行DDL，從而更好保護生產數據。

• 同一部署實例下的不同租戶的邏輯隔離：使用不同的租戶分別用戶開發、測試和生產環境，并配置底層計算引擎的隔離，形成代碼及配置規則的邏輯隔離，并在數據上進行完全的隔離。這種方式的發布需要通過跨租戶發布進行任務的發布。

• 完全的物理隔離：部署完全獨立的兩個Dataphin實例，并可將不同的實例部署在不同的網絡環境中，進行物理的隔離。同樣地，這種方式需要通過跨租戶發布進行任務的發布。

權限申請與授權

在通過項目和角色獲取權限之外，Dataphin也支持通過單獨的權限申請和授權獲取相應的權限。

Dataphin目前支持數據表權限、數據源權限、函數權限、變量權限、密鑰權限、數據服務權限的單獨申請和授權。

• 權限申請

  當需要使用到某個表或者數據源權限時，可以在權限中心發起權限申請，申請后需要對應的負責人審批，一般是資源的負責人或者模塊的管理員。也可以在權限審批策略自定義申請不同資源時的審批策略，詳情請參見 權限申請審批策略。

• 權限授權

  • 作為資源的負責人或者模塊的管理員，可以將自己管理的資源，直接授權給需要的成員使用。

  • 權限的申請、審批和授權記錄都可以在權限審計模塊進行審計，便于后續進行合規審查，詳情請參見權限審計。

個人賬號或用戶組申請權限、以及或給個人賬號或用戶組主動授權時，支持配置權限有效期。為了保障權限被合理使用，建議以最小需求范圍選擇權限有效期。職責變動或離職時，建議主動交還已申請或已被授權的權限。

權限申請審批策略

Dataphin針對不同的資源內置了豐富的權限審批策略，同時也支持客戶按照企業的實際情況定制權限審批策略。如果可以有自己的OA系統，Dataphin也支持對接客戶的OA進行審批。

• 內置權限申請審批策略

  Dataphin針對不同的資源，內置了不同的權限審批策略。如Dataphin物理表的權限需要項目管理員審批，邏輯表的權限需要板塊管理員審批。

• 自定義權限申請審批策略

  Dataphin支持按照資源類型、資源所屬項目、是否涉及敏感數據自定義不同的審批策略。如：

  • 不涉及敏感數據，可以直接免審批使用。

  • 涉及敏感數據，需要項目管理員和安全管理員審批。

  • 涉及到絕密數據，不允許申請權限。

• 支持對接客戶OA系統

  如果客戶希望在自己的OA系統中完成權限的審批，Dataphin也支持對接客戶自己的OA系統，將任務的審批流轉發到客戶的OA系統進行審批，審批通過后將審批結果返回到Dataphin完成實際的授權。

數據下載控制

Dataphin支持數據結果的下載，在Dataphin的代碼任務和即席分析中執行的結果可以下載到本地，方便繼續后續的業務。但對于涉及保密數據和絕密數據的項目，作為管理員希望能夠管控數據下載行為。

Dataphin提供了下面兩個功能管控數據下載行為：

• 關閉數據結果下載：對于絕密數據，需要管控數據不能下載。這時候可以關閉整個項目的數據結果下載功能，防止敏感數據泄露。

• 下載審批：對于保密數據，需要對下載數據、下載用戶、下載場景進行審批后，才能進行下載。Dataphin支持給項目配置數據下載審批，支持自定義選擇項目管理員或者安全管理員審批，需要審批后才能進行數據的下載，防止敏感數據被直接下載。