全部產品
Search

搜尋本產品

    DataWorks:MaxCompute資料存取權限控制

    文件中心

    DataWorks:MaxCompute資料存取權限控制

    更新時間:Jun 19, 2024

    DataWorks的資料存取控制,為您提供了訪問MaxCompute引擎資料時的許可權管控能力,包括許可權申請、許可權審批、許可權審計,還支援您查看許可權申請記錄、許可權審批記錄。本文為您介紹MaxCompute資料存取權限管控。

    前提條件

    背景資訊

    DataWorks通過空間預設角色與空間自訂角色與開發環境引擎Role映射,來讓被授予空間角色的RAM使用者擁有該角色映射的開發引擎Role許可權,但預設無生產許可權。您可通過DataWorks資訊安全中心實現MaxCompute資料許可權管控。

    應用情境

    情境

    同工作空間內,開發環境使用者訪問生產環境表。

    情境1

    當DataWorks的子帳號未被添加為生產環境計算引擎訪問身份時,預設該帳號無法在資料開發介面直接操作本工作空間的生產表,如果子帳號需要擁有生產表許可權,需要在資訊安全中心發起申請,待審批通過後,便可在資料開發介面對錶進行相關操作。

    開發或生產環境使用者訪問跨工作空間的開發或生產環境表。

    情境2

    預設不在工作空間下的子帳號無法在資料開發介面跨專案訪問開發表或生產表。如果需要跨專案操作開發表或生產表,子帳號需要在資訊安全中心發起申請,待審批通過後,便可在資料開發介面對錶進行相關操作。

    資料存取權限管控流程

    資料存取控制功能支援您進行許可權申請許可權審批許可權審計的操作,還支援您查看許可權申請記錄許可權審批記錄。在RAM使用者(子帳號)開發過程中沒有相關表許可權的情境下,可以通過許可權申請介面申請對應許可權。待審批人員(空間管理員或者表Owner)在許可權審批頁面通過申請後,便可獲得許可權。

    說明

    DataWorks的資訊安全中心為您提供預設的許可權申請審批次程序,同時也支援您在核准中心自訂審批次程序。當您申請MaxCompute引擎表欄位許可權時,DataWorks會根據申請的表欄位來識別需要進行哪種類型的審批次程序。

    資訊安全中心

    使用限制

    目前僅支援申請MaxCompute表層級與列層級許可權。

    注意事項

    開發環境和生產環境的MaxCompute專案,需要先在MaxCompute控制台開啟列級存取控制,才可以在資訊安全中心對錶中的欄位申請許可權,詳情請參見:Label許可權控制

    功能介紹

    角色

    說明

    許可權申請人

    可以通過許可權申請頁面申請MaxCompute表的許可權。對於已提交的申請,支援通過許可權申請記錄頁面查看當前登入的阿里雲帳號提交的申請記錄。

    許可權審批人

    可以通過許可權審批頁面查看我作為空白間管理員或者表Owner時,需要審批的表許可權。對於已審批的申請,支援通過許可權審批記錄頁面查看當前登入的阿里雲帳號審批通過的表。

    許可權審計

    阿里雲主帳號或空間管理員進入許可權審計頁面對工作空間下的成員及其擁有的表許可權進行管控,支援對工作空間下某成員所擁有的許可權進行回收。

    進入資料存取控制

    登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的資料治理 > 資訊安全中心,在右側頁面中單擊進入資訊安全中心

    許可權申請

    1. 進入許可權申請頁面。

    2. 選擇要申請的表。

      1. 申請內容地區,選擇引擎類型為MaxCompute,並選擇目標工作空間專案

      2. 待添加表地區,勾選需要申請的目標表。

        勾選目標表後,右側會顯示目標表的相關資訊。單擊表名稱展開表徵圖,顯示當前表的所有欄位,您可以選擇申請目標表的部分或全部欄位的許可權。預設申請目標表全部欄位的許可權。申請表許可權

        說明

        • 開發環境和生產環境的MaxCompute專案,需要先在MaxCompute控制台開啟列級存取控制,才可以在資訊安全中心對錶中的欄位申請許可權,詳情請參見:Label許可權控制

        • 目前支援申請列表層級的Select、Update、Download許可權,和表層級的Describe、Drop、Alter許可權。同時支援您針對單個欄位單獨申請欄位許可權。

    3. 配置申請資訊

      參數

      描述

      使用者

      選擇需要為誰申請目標表許可權。

      • 當前登入帳號:表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。

      • 調度訪問帳號:表示為被設定為調度訪問身份的RAM使用者(子帳號)申請目標表許可權。

      • 代他人申請:表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時,需要配置使用者名稱參數。

      工作空間

      使用者配置為調度訪問帳號時,需要選擇在哪個工作空間使用目標表。

      申請時間長度

      支援您按需自訂申請表許可權的時間長度,到期許可權將自動收回。

      說明

      使用此功能前需要表所在的MaxCompute專案開啟Policy授權,詳情請參見:MaxCompute資料許可權控制詳情,關於MaxCompute Policy的說明請參見:Policy許可權控制

      申請原因

      輸入申請目標表許可權的原因。

    4. 單擊申請許可權,提交申請。

      您可以在許可權申請記錄頁簽,查看進行中的申請的審批詳情及審批記錄。

    許可權審批

    1. 查看待審批的申請。

      進入許可權審批頁面,您可以根據申請帳號申請時間工作空間專案名稱對象名稱等條件進行篩選,查看目標條件下,當前登入的阿里雲帳號名下需要審批的申請資訊。審批申請

      說明

      同一個申請單提交的多張表許可權申請,會按照表Owner的不同自動拆分成多個申請單。

    2. 查看審批詳情。

      單擊目標申請操作列的審批,您可以在審批詳情對話方塊查看目標申請的申請詳情審批記錄等詳細資料。

    3. 審批申請。

      根據申請的詳細內容及當前需求判斷是否同意審批該申請,填寫審批意見,選擇同意拒絕進行中的申請。

      您也可以直接在許可權審批頁面,勾選全部申請,單擊批量同意批量拒絕,填寫審批意見,批量處理目標申請。

    查看許可權申請及審批記錄

    • 查看許可權申請記錄:您可以根據審批狀態申請時間工作空間等條件進行篩選,查看當前登入的阿里雲帳號名下涉及的申請記錄。

      您還可以單擊目標申請操作列的查看詳情,查看申請的詳細資料。同時,對於審批狀態審批中的申請,您可以繼續後續的審批操作。

    • 查看許可權審批記錄:您可以根據申請帳號審批結果工作空間等條件進行篩選,查看當前登入的阿里雲帳號的審批記錄。

      您還可以單擊目標申請操作列的查看詳情,查看申請的詳細資料。