MaxCompute數(shù)據(jù)訪問權(quán)限控制
DataWorks的數(shù)據(jù)訪問控制,為您提供了訪問MaxCompute引擎數(shù)據(jù)時的權(quán)限管控能力,包括權(quán)限申請、權(quán)限審批、權(quán)限審計(jì),還支持您查看權(quán)限申請記錄、權(quán)限審批記錄。本文為您介紹MaxCompute數(shù)據(jù)訪問權(quán)限管控。
背景信息
在DataWorks標(biāo)準(zhǔn)模式中,空間成員擁有與開發(fā)環(huán)境綁定的MaxCompute項(xiàng)目內(nèi)所有數(shù)據(jù)的讀取權(quán)限,詳情請參見MaxCompute引擎在不同模式工作空間訪問資源與權(quán)限說明。
若您需要使用DataWorks空間下與生產(chǎn)環(huán)境綁定的MaxCompute項(xiàng)目內(nèi)的資源與函數(shù),可參考本文檔,通過DataWorks安全中心申請生產(chǎn)環(huán)境綁定的MaxCompute項(xiàng)目的表數(shù)據(jù)、資源、函數(shù)的訪問控制權(quán)限。
在標(biāo)準(zhǔn)工作空間模式中,DataWorks處理生產(chǎn)環(huán)境的項(xiàng)目時,默認(rèn)不會在MaxCompute的項(xiàng)目角色中添加成員。
權(quán)限申請者在申請開發(fā)環(huán)境的MaxCompute的表數(shù)據(jù)、資源、函數(shù)后,需經(jīng)過審批者通過后方可使用。
前提條件
已添加MaxCompute數(shù)據(jù)源,若未添加詳情請參見:創(chuàng)建MaxCompute數(shù)據(jù)源。
權(quán)限申請支持MaxCompute數(shù)據(jù)源的表權(quán)限、資源權(quán)限以及函數(shù)權(quán)限的申請。
開發(fā)環(huán)境和生產(chǎn)環(huán)境的MaxCompute項(xiàng)目,需要先在MaxCompute控制臺開啟列級訪問控制,才可以在安全中心對表中的字段申請權(quán)限,詳情請參見:Label權(quán)限控制。
數(shù)據(jù)訪問權(quán)限管控流程
應(yīng)用場景
場景 | |
同工作空間內(nèi),開發(fā)環(huán)境用戶訪問生產(chǎn)環(huán)境表、資源或函數(shù)。 |
當(dāng)DataWorks的子賬號未被添加為生產(chǎn)環(huán)境計(jì)算引擎訪問身份時,默認(rèn)該賬號無法在數(shù)據(jù)開發(fā)界面直接操作本工作空間的生產(chǎn)表,如果子賬號需要擁有生產(chǎn)表權(quán)限,需要在安全中心發(fā)起申請,待審批通過后,便可在數(shù)據(jù)開發(fā)界面對表進(jìn)行相關(guān)操作。 |
開發(fā)或生產(chǎn)環(huán)境用戶訪問跨工作空間的開發(fā)或生產(chǎn)環(huán)境表、資源或函數(shù)。 |
默認(rèn)不在工作空間下的子賬號無法在數(shù)據(jù)開發(fā)界面跨項(xiàng)目訪問開發(fā)表或生產(chǎn)表。如果需要跨項(xiàng)目操作開發(fā)表或生產(chǎn)表,子賬號需要在安全中心發(fā)起申請,待審批通過后,便可在數(shù)據(jù)開發(fā)界面對表進(jìn)行相關(guān)操作。 |
權(quán)限申請流程
數(shù)據(jù)訪問控制功能支持您進(jìn)行權(quán)限申請、權(quán)限審批、權(quán)限審計(jì)的操作,還支持您查看權(quán)限申請記錄、權(quán)限審批記錄。在RAM用戶(子賬號)開發(fā)過程中沒有相關(guān)表權(quán)限的場景下,可以通過權(quán)限申請界面申請對應(yīng)權(quán)限。待審批人員(空間管理員或者表Owner)在權(quán)限審批頁面通過申請后,便可獲得權(quán)限。
DataWorks的安全中心為您提供默認(rèn)的權(quán)限申請審批流程,同時也支持您在審批中心自定義審批流程。當(dāng)您申請MaxCompute引擎表字段權(quán)限時,DataWorks會根據(jù)申請的表字段來識別需要進(jìn)行哪種類型的審批流程。
資源與函數(shù)權(quán)限申請,不支持自定義審批與權(quán)限審計(jì)管理。
權(quán)限申請人:可以通過安全中心頁面申請MaxCompute表的權(quán)限。對于已提交的申請,支持通過權(quán)限申請記錄頁面查看當(dāng)前登錄的阿里云賬號提交的申請記錄。
權(quán)限審批人:可以通過步驟三:權(quán)限審批頁面查看我作為空間管理員或者表Owner時,需要審批的表權(quán)限。對于已審批的申請,支持通過權(quán)限審批記錄頁面查看當(dāng)前登錄的阿里云賬號的表、資源、函數(shù)的審批結(jié)果。
權(quán)限審計(jì):阿里云主賬號或空間管理員進(jìn)入權(quán)限審計(jì)頁面對工作空間下的成員擁有的表權(quán)限進(jìn)行管控,支持對工作空間下某成員所擁有的權(quán)限進(jìn)行回收。
步驟一:進(jìn)入數(shù)據(jù)訪問控制
登錄DataWorks控制臺,切換至目標(biāo)地域后,單擊左側(cè)導(dǎo)航欄的,在右側(cè)頁面中單擊進(jìn)入安全中心。
步驟二:權(quán)限申請
在數(shù)據(jù)訪問控制頁面進(jìn)行權(quán)限申請,需要配置申請內(nèi)容與申請信息兩個模塊的信息。詳情請參見以下表格:
資源與函數(shù)權(quán)限申請,不支持自定義審批與權(quán)限審計(jì)管理。
表權(quán)限申請
進(jìn)入權(quán)限申請頁面。
選擇要申請的表。
在申請內(nèi)容區(qū)域,選擇數(shù)據(jù)源類型為MaxCompute,并選擇目標(biāo)工作空間及項(xiàng)目。
在待添加表區(qū)域,勾選需要申請的目標(biāo)表。
勾選目標(biāo)表后,右側(cè)會顯示目標(biāo)表的相關(guān)信息。單擊表名稱前
圖標(biāo),顯示當(dāng)前表的所有字段,您可以選擇申請目標(biāo)表的部分或全部字段的權(quán)限。默認(rèn)申請目標(biāo)表全部字段的權(quán)限。
說明開發(fā)環(huán)境和生產(chǎn)環(huán)境的MaxCompute項(xiàng)目,需要先在MaxCompute控制臺開啟列級訪問控制,才可以在安全中心對表中的字段申請權(quán)限,詳情請參見:Label權(quán)限控制。
目前支持申請列表級別的Select、Update權(quán)限,和表級別的Describe、Drop、Alter、Select、Update權(quán)限。同時支持您針對單個字段單獨(dú)申請字段權(quán)限。如果您成功申請表級別的Select、Update權(quán)限,則表中新增列時,會自動繼承Select、Update權(quán)限。
配置申請信息。
參數(shù)
描述
使用者
選擇需要為誰申請目標(biāo)表權(quán)限。
當(dāng)前登錄賬號:表示為當(dāng)前登錄DataWorks工作空間的阿里云賬號申請目標(biāo)表權(quán)限。
調(diào)度訪問賬號:表示為被設(shè)置為調(diào)度訪問身份的RAM用戶(子賬號)申請目標(biāo)表權(quán)限。
代他人申請:表示當(dāng)前登錄DataWorks工作空間的阿里云賬號為其他阿里云賬號申請目標(biāo)表權(quán)限。選擇該選項(xiàng)時,需要配置用戶名參數(shù)。
工作空間
當(dāng)使用者配置為調(diào)度訪問賬號時,需要選擇在哪個工作空間使用目標(biāo)表。
申請時長
支持您按需自定義申請表權(quán)限的時長,過期權(quán)限將自動收回。
說明使用此功能前需要表所在的MaxCompute項(xiàng)目開啟Policy授權(quán),詳情請參見:MaxCompute數(shù)據(jù)權(quán)限控制詳情,關(guān)于MaxCompute Policy的說明請參見:Policy權(quán)限控制。
申請?jiān)?/b>
輸入申請目標(biāo)表權(quán)限的原因。
單擊申請權(quán)限,提交申請。
您可以在權(quán)限申請記錄頁簽,查看當(dāng)前申請的審批詳情及審批記錄。
資源權(quán)限申請
申請配置項(xiàng) | 配置說明 | 圖示 | |
申請內(nèi)容 | 申請類型 |
|
|
數(shù)據(jù)源類型 | 默認(rèn)為MaxCompute,無法修改。 | ||
工作空間 | 選擇需要申請資源所在的工作空間。 | ||
項(xiàng)目 | 資源所在的工作空間綁定的MaxCompute項(xiàng)目。 | ||
資源名稱 | 需要申請權(quán)限的資源。 | ||
申請信息 | 使用者 | 選擇需要為誰申請目標(biāo)資源權(quán)限。
|
|
申請時長 | 支持您按需自定義申請資源權(quán)限的時長,過期權(quán)限將自動回收。 | ||
申請?jiān)?/b> | 輸入申請目標(biāo)資源權(quán)限的原因。 | ||
配置完成后,單擊申請權(quán)限,提交申請。
您可以在權(quán)限申請記錄頁簽,查看當(dāng)前申請的審批詳情及審批記錄。
函數(shù)權(quán)限申請
申請配置項(xiàng) | 配置說明 | 圖示 | |
申請內(nèi)容 | 申請類型 |
|
|
數(shù)據(jù)源類型 | 默認(rèn)為MaxCompute,無法修改。 | ||
工作空間 | 選擇需要申請函數(shù)所在的工作空間。 | ||
項(xiàng)目 | 函數(shù)所在的工作空間綁定的MaxCompute項(xiàng)目。 | ||
函數(shù)名稱 | 需要申請權(quán)限的函數(shù)名稱。 | ||
申請信息 | 使用者 | 選擇需要為誰申請目標(biāo)函數(shù)權(quán)限。
|
|
申請時長 | 支持您按需自定義申請表權(quán)限的時長,過期權(quán)限將自動回收。 | ||
申請?jiān)?/b> | 輸入申請目標(biāo)函數(shù)權(quán)限的原因。 | ||
配置完成后,單擊申請權(quán)限,提交申請。
您可以在權(quán)限申請記錄頁簽,查看當(dāng)前申請的審批詳情及審批記錄。
步驟三:權(quán)限審批
查看待審批的申請。
進(jìn)入權(quán)限審批頁面,您可以根據(jù)申請賬號、申請時間、工作空間、項(xiàng)目名稱、對象名稱等條件進(jìn)行篩選,查看目標(biāo)條件下,當(dāng)前登錄的阿里云賬號名下需要審批的申請信息。
說明同一個申請單提交的多張表權(quán)限申請,會按照表Owner的不同自動拆分成多個申請單。
查看審批詳情。
單擊目標(biāo)申請操作列的審批,您可以在審批詳情對話框查看目標(biāo)申請的申請?jiān)斍?/b>、審批記錄等詳細(xì)信息。
審批申請。
根據(jù)申請的詳細(xì)內(nèi)容及當(dāng)前需求判斷是否同意審批該申請,填寫審批意見,選擇同意或拒絕當(dāng)前申請。
您也可以直接在權(quán)限審批頁面,勾選全部申請,單擊批量同意或批量拒絕,填寫審批意見,批量處理目標(biāo)申請。
查看權(quán)限申請及審批記錄
查看權(quán)限申請記錄:您可以根據(jù)審批狀態(tài)、申請時間、工作空間等條件進(jìn)行篩選,查看當(dāng)前登錄的阿里云賬號名下涉及的申請記錄。
您還可以單擊目標(biāo)申請操作列的查看詳情,查看申請的詳細(xì)信息。同時,對于審批狀態(tài)為審批中的申請,您可以繼續(xù)后續(xù)的審批操作。
查看權(quán)限審批記錄:您可以根據(jù)申請賬號、審批結(jié)果、工作空間等條件進(jìn)行篩選,查看當(dāng)前登錄的阿里云賬號的審批記錄。
您還可以單擊目標(biāo)申請操作列的查看詳情,查看申請的詳細(xì)信息。