全部產品
Search
文件中心

DataWorks:MaxCompute資料存取權限控制

更新時間:Sep 03, 2024

DataWorks的資料存取控制,為您提供了訪問MaxCompute引擎資料時的許可權管控能力,包括許可權申請、許可權審批、許可權審計,還支援您查看許可權申請記錄、許可權審批記錄。本文為您介紹MaxCompute資料存取權限管控。

背景資訊

在DataWorks標準模式中,空間成員擁有與開發環境綁定的MaxCompute專案內所有資料的讀取許可權,詳情請參見MaxCompute引擎在不同模式工作空間訪問資源與許可權說明

若您需要使用DataWorks空間下與生產環境綁定的MaxCompute專案內的資源與函數,可參考本文檔,通過DataWorks資訊安全中心申請生產環境綁定的MaxCompute專案的表資料、資源、函數的存取控制許可權。

說明
  • 在標準工作空間模式中,DataWorks處理生產環境的專案時,預設不會在MaxCompute的專案角色中新增成員。

  • 許可權申請者在申請開發環境的MaxCompute的表資料、資源、函數後,需經過審批者通過後方可使用。

前提條件

  • 許可權申請支援MaxCompute資料來源的表許可權、資源許可權以及函數許可權的申請。

  • 開發環境和生產環境的MaxCompute專案,需要先在MaxCompute控制台開啟列級存取控制,才可以在資訊安全中心對錶中的欄位申請許可權,詳情請參見:Label許可權控制

資料存取權限管控流程

應用情境

情境

同工作空間內,開發環境使用者訪問生產環境表、資源或函數。

情境1

當DataWorks的子帳號未被添加為生產環境計算引擎訪問身份時,預設該帳號無法在資料開發介面直接操作本工作空間的生產表,如果子帳號需要擁有生產表許可權,需要在資訊安全中心發起申請,待審批通過後,便可在資料開發介面對錶進行相關操作。

開發或生產環境使用者訪問跨工作空間的開發或生產環境表、資源或函數。

情境2

預設不在工作空間下的子帳號無法在資料開發介面跨專案訪問開發表或生產表。如果需要跨專案操作開發表或生產表,子帳號需要在資訊安全中心發起申請,待審批通過後,便可在資料開發介面對錶進行相關操作。

許可權申請流程

資料存取控制功能支援您進行許可權申請許可權審批許可權審計的操作,還支援您查看許可權申請記錄許可權審批記錄。在RAM使用者(子帳號)開發過程中沒有相關表許可權的情境下,可以通過許可權申請介面申請對應許可權。待審批人員(空間管理員或者表Owner)在許可權審批頁面通過申請後,便可獲得許可權。

說明

DataWorks的資訊安全中心為您提供預設的許可權申請審批次程序,同時也支援您在核准中心自訂審批次程序。當您申請MaxCompute引擎表欄位許可權時,DataWorks會根據申請的表欄位來識別需要進行哪種類型的審批次程序。

說明

資源與函數許可權申請,不支援自訂審批與許可權審計管理。

  • 許可權申請人:可以通過資訊安全中心頁面申請MaxCompute表的許可權。對於已提交的申請,支援通過許可權申請記錄頁面查看當前登入的阿里雲帳號提交的申請記錄。

  • 許可權審批人:可以通過步驟三:許可權審批頁面查看我作為空白間管理員或者表Owner時,需要審批的表許可權。對於已審批的申請,支援通過許可權審批記錄頁面查看當前登入的阿里雲帳號的表、資源、函數的審批結果。

  • 許可權審計:阿里雲主帳號或空間管理員進入許可權審計頁面對工作空間下的成員擁有的表許可權進行管控,支援對工作空間下某成員所擁有的許可權進行回收。

步驟一:進入資料存取控制

登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的資料治理 > 資訊安全中心,在右側頁面中單擊進入資訊安全中心

步驟二:許可權申請

在資料存取控制頁面進行許可權申請,需要配置申請內容申請資訊兩個模組的資訊。詳情請參見以下表格:

說明

資源與函數許可權申請,不支援自訂審批與許可權審計管理。

表許可權申請

  1. 進入許可權申請頁面。

  2. 選擇要申請的表。

    1. 申請內容地區,選擇資料來源類型為MaxCompute,並選擇目標工作空間專案

    2. 待添加表地區,勾選需要申請的目標表。

      勾選目標表後,右側會顯示目標表的相關資訊。單擊表名稱展開表徵圖,顯示當前表的所有欄位,您可以選擇申請目標表的部分或全部欄位的許可權。預設申請目標表全部欄位的許可權。image

      說明
      • 開發環境和生產環境的MaxCompute專案,需要先在MaxCompute控制台開啟列級存取控制,才可以在資訊安全中心對錶中的欄位申請許可權,詳情請參見:Label許可權控制

      • 目前支援申請列表層級的Select、Update許可權,和表層級的Describe、Drop、Alter、Select、Update許可權。同時支援您針對單個欄位單獨申請欄位許可權。如果您成功申請表層級的Select、Update許可權,則表中新增列時,會自動繼承Select、Update許可權。

  3. 配置申請資訊

    參數

    描述

    使用者

    選擇需要為誰申請目標表許可權。

    • 當前登入帳號:表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。

    • 調度訪問帳號:表示為被設定為調度訪問身份的RAM使用者(子帳號)申請目標表許可權。

    • 代他人申請:表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時,需要配置使用者名稱參數。

    工作空間

    使用者配置為調度訪問帳號時,需要選擇在哪個工作空間使用目標表。

    申請時間長度

    支援您按需自訂申請表許可權的時間長度,到期許可權將自動收回。

    說明

    使用此功能前需要表所在的MaxCompute專案開啟Policy授權,詳情請參見:MaxCompute資料許可權控制詳情,關於MaxCompute Policy的說明請參見:Policy許可權控制

    申請原因

    輸入申請目標表許可權的原因。

  4. 單擊申請許可權,提交申請。

    您可以在許可權申請記錄頁簽,查看進行中的申請的審批詳情及審批記錄。

資源許可權申請

申請配置項

配置說明

圖示

申請內容

申請類型

資源

image

資料來源類型

預設為MaxCompute,無法修改。

工作空間

選擇需要申請資源所在的工作空間。

專案

資源所在的工作空間綁定的MaxCompute專案。

資源名稱

需要申請許可權的資源。

申請資訊

使用者

選擇需要為誰申請目標資源許可權。

  • 當前登入帳號:表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。

  • 調度訪問帳號:表示為被設定為調度訪問身份的RAM使用者(子帳號)申請目標表許可權。

  • 代他人申請:表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時,需要配置使用者名稱參數。

image

申請時間長度

支援您按需自訂申請資源許可權的時間長度,到期許可權將自動回收。

申請原因

輸入申請目標資源許可權的原因。

配置完成後,單擊申請許可權,提交申請。

您可以在許可權申請記錄頁簽,查看進行中的申請的審批詳情及審批記錄。

函數許可權申請

申請配置項

配置說明

圖示

申請內容

申請類型

函數

image

資料來源類型

預設為MaxCompute,無法修改。

工作空間

選擇需要申請函數所在的工作空間。

專案

函數所在的工作空間綁定的MaxCompute專案。

函數名稱

需要申請許可權的函數名稱。

申請資訊

使用者

選擇需要為誰申請目標函數許可權。

  • 當前登入帳號:表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。

  • 調度訪問帳號:表示為被設定為調度訪問身份的RAM使用者(子帳號)申請目標表許可權。

  • 代他人申請:表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時,需要配置使用者名稱參數。

image

申請時間長度

支援您按需自訂申請表許可權的時間長度,到期許可權將自動回收。

申請原因

輸入申請目標函數許可權的原因。

配置完成後,單擊申請許可權,提交申請。

您可以在許可權申請記錄頁簽,查看進行中的申請的審批詳情及審批記錄。

步驟三:許可權審批

  1. 查看待審批的申請。

    進入許可權審批頁面,您可以根據申請帳號申請時間工作空間專案名稱對象名稱等條件進行篩選,查看目標條件下,當前登入的阿里雲帳號名下需要審批的申請資訊。審批申請

    說明

    同一個申請單提交的多張表許可權申請,會按照表Owner的不同自動拆分成多個申請單。

  2. 查看審批詳情。

    單擊目標申請操作列的審批,您可以在審批詳情對話方塊查看目標申請的申請詳情審批記錄等詳細資料。

  3. 審批申請。

    根據申請的詳細內容及當前需求判斷是否同意審批該申請,填寫審批意見,選擇同意拒絕進行中的申請。

    您也可以直接在許可權審批頁面,勾選全部申請,單擊批量同意批量拒絕,填寫審批意見,批量處理目標申請。

查看許可權申請及審批記錄

  • 查看許可權申請記錄:您可以根據審批狀態申請時間工作空間等條件進行篩選,查看當前登入的阿里雲帳號名下涉及的申請記錄。

    您還可以單擊目標申請操作列的查看詳情,查看申請的詳細資料。同時,對於審批狀態審批中的申請,您可以繼續後續的審批操作。

  • 查看許可權審批記錄:您可以根據申請帳號審批結果工作空間等條件進行篩選,查看當前登入的阿里雲帳號的審批記錄。

    您還可以單擊目標申請操作列的查看詳情,查看申請的詳細資料。