DataWorks包括簡單模式和標準模式兩種工作空間模式,本文為您詳細介紹MaxCompute引擎在不同模式工作空間的許可權管理特徵、資源訪問行為差異。
前提條件
已瞭解簡單模式與標準模式的區別。
使用說明
類別 | 說明 | 相關文檔 |
MaxCompute不同空間模式下許可權管理特徵的差異。 | 由於不同工作空間模式下,引擎映射的DataWorks環境不同,將導致不同模式下資料訪問行為習慣與資料許可權、資料安全等級存在差異。 | |
MaxCompute不同空間模式下資源訪問行為的差異。 | 由於不同工作空間模式對應的引擎個數,對應的DataWorks空間環境個數不同,其預設訪問的資源及需要訪問生產資源的方式存在差異。 | |
不同模式下資料庫、表命名規範。 | 命名規範嚴格區分資料庫名和表名,避免誤操作生產環境。 |
不同模式工作空間的許可權管理特徵
不同工作空間模式下,引擎映射的DataWorks環境不同,不同工作空間類型的許可權管理特徵與優缺點也不一致,以下表格為您對比介紹兩種空間類型的許可權細分特點。
細分特點 | 簡單模式 | 標準模式 |
許可權概述 | 在簡單模式空間下,DataWorks的“開發”角色因為與所綁定MaxCompute專案的“Role_Project_Dev” Role進行了映射,因此:
| 在標準模式空間下,DataWorks的“開發”角色因為與所綁定MaxCompute專案(dev環境)的“Role_Project_Dev” Role進行了映射,因此:
|
優點 | 簡單、方便、易用。 僅需要授權資料開發人員“DataWorks開發角色”即可完成所有資料倉儲開發工作。 | 安全、規範。
|
缺點 | 存在不穩定、不安全的風險。
| 流程相對複雜,一般情況下無法一人完成所有資料開發、生產流程。 |
MaxCompute引擎在不同模式工作空間的資源訪問行為差異
MaxCompute可跨專案訪問資源,所以在DataWorks上,開發人員可在資料開發即開發環境介面直接存取生產環境下的資源。由於簡單模式與標準模式對應的引擎專案個數和DataWorks空間環境個數不同,其訪問生產環境資源的命令不同,具體訪問行為如下表所示:
情境 | 工作空間模式 | 資料開發介面 | 生產營運中心 |
執行帳號 | 標準模式 | 當前操作人 | 調度引擎指定帳號 |
簡單模式 | 調度引擎指定帳號 說明 簡單模式工作空間下,如果調度引擎指定帳號為阿里雲主帳號,無論是否是主帳號進行執行任務的操作,其都將使用主帳號身份執行任務。 | ||
資源所在環境 | 標準模式 | projectname_dev.tablename/function/resource | projectname.tablename/function/resource |
簡單模式 | projectname.tablename/function/resource | ||
訪問資源 | 標準模式 | 情境一:
情境二:
說明 阿里雲RAM使用者(非調度引擎指定帳號)預設無許可權訪問生產環境,生產表許可權需要在資訊安全中心申請。 |
|
簡單模式 | select col1 from tablename.
說明 簡單模式工作空間下,如果調度引擎指定帳號為阿里雲主帳號,無論是否是主帳號進行執行任務的操作,其都將使用主帳號身份訪問該資源。 | ||
訪問資源許可權問題 | 標準模式 | 個人所擁有的資源許可權。 | 調度引擎指定帳號所擁有的許可權。 |
簡單模式 | 調度引擎指定帳號所擁有的許可權。 說明 如果當前簡單模式工作空間使用的調度引擎指定帳號為阿里雲主帳號,許可權過大,不建議您直接使用阿里雲主帳號作為簡單模式工作空間調度引擎執行帳號。 | ||
MaxCompute引擎在不同模式下資料庫表命名規範
簡單模式下不區分開發環境和生產環境,開發庫即生產庫。標準模式下,支援開發環境和生產環境隔離,開發環境和生產環境的資料庫表命名有所區別,如果需要在開發環境訪問生產環境的資料庫表,請根據以下命名規範嚴格區分資料庫表名,避免誤操作生產環境。
環境類型 | 標準模式 | 樣本 |
開發環境 | 專案名_dev.表名 | 在projectA專案下建立一個開發庫表user_info,則資料庫表名為:projectA_dev.user_info。 |
生產環境 | 專案名.表名 | 在projectA專案下建立一個生產庫表user_info,則資料庫表名為:projectA.user_info。 |