DataWorks包括簡單模式和標準模式兩種工作空間模式,本文為您詳細介紹MaxCompute引擎在不同模式工作空間的權限管理特征、資源訪問行為差異。
前提條件
已了解簡單模式與標準模式的區別。
已了解MaxCompute數據權限控制。
使用說明
類別 | 說明 | 相關文檔 |
MaxCompute不同空間模式下權限管理特征的差異。 | 由于不同工作空間模式下,引擎映射的DataWorks環境不同,將導致不同模式下數據訪問行為習慣與數據權限、數據安全等級存在差異。 | |
MaxCompute不同空間模式下資源訪問行為的差異。 | 由于不同工作空間模式對應的引擎個數,對應的DataWorks空間環境個數不同,其默認訪問的資源及需要訪問生產資源的方式存在差異。 | |
不同模式下數據庫、表命名規范。 | 命名規范嚴格區分數據庫名和表名,避免誤操作生產環境。 |
不同模式工作空間的權限管理特征
不同工作空間模式下,引擎映射的DataWorks環境不同,不同工作空間類型的權限管理特征與優缺點也不一致,以下表格為您對比介紹兩種空間類型的權限細分特點。
細分特點 | 簡單模式 | 標準模式 |
權限概述 | 在簡單模式空間下,DataWorks的“開發”角色因為與所綁定MaxCompute項目的“Role_Project_Dev” Role進行了映射,因此:
| 在標準模式空間下,DataWorks的“開發”角色因為與所綁定MaxCompute項目(dev環境)的“Role_Project_Dev” Role進行了映射,因此:
|
優點 | 簡單、方便、易用。 僅需要授權數據開發人員“DataWorks開發角色”即可完成所有數據倉庫開發工作。 | 安全、規范。
|
缺點 | 存在不穩定、不安全的風險。
| 流程相對復雜,一般情況下無法一人完成所有數據開發、生產流程。 |
MaxCompute引擎在不同模式工作空間的資源訪問行為差異
MaxCompute可跨項目訪問資源,所以在DataWorks上,開發人員可在數據開發即開發環境界面直接訪問生產環境下的資源。由于簡單模式與標準模式對應的引擎項目個數和DataWorks空間環境個數不同,其訪問生產環境資源的命令不同,具體訪問行為如下表所示:
場景 | 工作空間模式 | 數據開發界面 | 生產運維中心 |
執行賬號 | 標準模式 | 當前操作人 | 調度引擎指定賬號 |
簡單模式 | 調度引擎指定賬號 說明 簡單模式工作空間下,如果調度引擎指定賬號為阿里云主賬號,無論是否是主賬號進行執行任務的操作,其都將使用主賬號身份執行任務。 | ||
資源所在環境 | 標準模式 | projectname_dev.tablename/function/resource | projectname.tablename/function/resource |
簡單模式 | projectname.tablename/function/resource | ||
訪問資源 | 標準模式 | 場景一:
場景二:
說明 阿里云RAM用戶(非調度引擎指定賬號)默認無權限訪問生產環境,生產表權限需要在安全中心申請。 |
|
簡單模式 | select col1 from tablename.
說明 簡單模式工作空間下,如果調度引擎指定賬號為阿里云主賬號,無論是否是主賬號進行執行任務的操作,其都將使用主賬號身份訪問該資源。 | ||
訪問資源權限問題 | 標準模式 | 個人所擁有的資源權限。 | 調度引擎指定賬號所擁有的權限。 |
簡單模式 | 調度引擎指定賬號所擁有的權限。 說明 如果當前簡單模式工作空間使用的調度引擎指定賬號為阿里云主賬號,權限過大,不建議您直接使用阿里云主賬號作為簡單模式工作空間調度引擎執行賬號。 | ||
MaxCompute引擎在不同模式下數據庫表命名規范
簡單模式下不區分開發環境和生產環境,開發庫即生產庫。標準模式下,支持開發環境和生產環境隔離,開發環境和生產環境的數據庫表命名有所區別,如果需要在開發環境訪問生產環境的數據庫表,請根據以下命名規范嚴格區分數據庫表名,避免誤操作生產環境。
環境類型 | 標準模式 | 示例 |
開發環境 | 項目名_dev.表名 | 在projectA項目下創建一個開發庫表user_info,則數據庫表名為:projectA_dev.user_info。 |
生產環境 | 項目名.表名 | 在projectA項目下創建一個生產庫表user_info,則數據庫表名為:projectA.user_info。 |