全部产品
Search
文档中心

大数据开发治理平台 DataWorks:引擎与数据权限管控

更新时间:Dec 04, 2024

各数据源在联合DataWorks使用时,DataWorks空间成员获取不同引擎资源权限的方式不同。本文为您介绍DataWorks上引擎数据权限管控的实现方式。

前提条件

数据源与数据权限控制

DataWorks空间成员获取不同引擎资源权限的方式不同,各引擎权限的详细说明如下表所示:

数据源类型

权限说明

相关参考

MaxCompute引擎

预设角色

DataWorks空间级角色与MaxCompute引擎Role存在映射关系,使得授予空间预设角色的RAM用户拥有该角色映射的开发引擎Role权限。

  • 开发环境的MaxCompute引擎权限:

    空间级预设角色默认有部分开发环境的MaxCompute引擎权限,即空间级预设角色的用户可直接访问开发环境下MaxCompute表。

  • 生产环境的MaxCompute引擎权限:

    空间级预设角色没有生产环境的MaxCompute引擎权限,如果要对生产环境的MaxCompute表行访问等操作,您需要在安全中心申请权限。

自定义角色

创建自定义角色时,如果配置了自定义角色与MaxCompute引擎Role的映射,则自定义角色将拥有该MaxCompute引擎Role中所拥有的权限。

EMR集群

通过为空间成员配置集群账号映射,使空间成员拥有集群账号所拥有的权限。

CDH/CDP集群

通过为空间下的成员配置空间成员与Linux或Kerberos账号映射获得集群权限。

注册CDH或CDP集群至DataWorks

Hologres

通过引擎本身授权策略实现。您需要在创建空间并创建Hologres数据源后,根据Hologres权限体系文档进行DataWorks空间成员的Hologres引擎权限分配。

Hologres权限管理概述

其他引擎

通过在DataWorks创建数据源时对应环境指定的账号决定是否有权限,即任务执行时数据权限由引擎访问身份配置账号所拥有的权限决定。

说明
  • 其他引擎在创建数据源时,需设置在开发环境、生产环境使用该引擎时的调度身份(如,创建AnalyticDB for PostgreSQL数据源时需指定访问数据库的用户名和密码)。

  • 空间级角色的用户(含预设角色和自定义角色),在执行其他擎任务时,使用创建数据源时设置的调度身份,即,空间级角色不直接管控非MaxCompute引擎权限,此权限由创建数据源时指定调度身份来设置。

-