本文通过一个简单示例,为您介绍不同角色的用户如何使用安全中心的各项功能。

前提条件

使用安全中心前请注意以下事项:
  • 字段级别授权与LabelSecurity

    未开启LabelSecurity机制的工作空间将无法进行字段级别的授权,只能进行整表授权,同时无法在申请时设置有效期。LabelSecurity的详情请参见列级别访问控制

  • 权限有效期

    为保证字段级别的授权在有效期正常运行,除开启LabelSecurity外,还请务必保证各字段的LabelSecurity大于账号的LabelSecurity。

    如果部分字段的LabelSecurity为空或不大于账号的LabelSecurity,虽然在账号申请该表权限时可以选择有效期,但申请审批通过后,将自动获取这部分字段的权限,同时有效期为永久,并且无法单独交还/回收这部分字段权限。

  • 申请及展示权限

    目前安全中心仅展示通过ACL授权方式所获取的权限,不展示通过用户角色等其它方式获取的权限。例如,作为项目开发角色的账号可以访问项目中所有的表,但在安全中心中,并不显示对项目中的表具有权限。当发现安全中心未展示具有权限但实际可以访问的情况,请与系统管理员确认是否通过用户角色等其它方式获取了相应权限。

背景信息

不同角色的用户拥有的权限如下:
  • 子账号-普通用户
    • 我的权限:支持查看权限、申请权限、交还操作权限和交还字段权限等操作。
    • 我的申请:支持查看申请单进度和查看历史申请等操作。
  • 子账号-表Owner
    • 我的权限:支持查看权限、申请自己不是表Owner的表权限、交还自己不是表Owner的表操作权限、交还自己不是表Owner的表字段权限等操作。
    • 我的申请:支持查看申请单进度和历史申请。
    • 待我审批:支持审批等待自己处理的申请单。
    • 我已审批:支持查看自己处理过的申请单。
  • 子账号-项目管理员
    • 权限审计:支持查看项目成员和回收成员权限等操作。
    • 我的申请:支持查看申请单进度和历史申请。
    • 待我审批:支持审批等待自己处理的申请单。
    • 我已审批:支持查看自己处理过的申请单。
  • 主账号
    • 权限审计:支持查看项目成员和回收成员权限等操作。
    • 我的申请:支持查看申请单进度和查看历史申请等操作。
    • 待我审批:支持审批等待自己处理的申请单。
    • 我已审批:支持查看自己处理过的申请单。

本示例的角色分类有:普通用户、表Owner和项目管理员。

本示例需要实现以下需求:
  • 子账号甲作为普通用户查看自己当前具有的权限。
  • 子账号甲申请A、B这两张目前无权限的数据表的权限。
  • 子账号乙作为A表的表Owner进行审批,通过A表申请。
  • 主账号作为项目管理员进行审批,通过B表申请。
  • 子账号甲无需使用A表部分字段,交还部分字段权限。
  • 子账号甲不再需要使用A表,交还A表权限。
  • 主账号回收子账号甲B表的权限。

进入安全中心

  1. 登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 单击相应工作空间后的进入数据开发
  4. 单击左上角的图标图标,选择全部产品 > 安全中心

普通用户

  • 子账号甲(普通用户角色)查看自己在项目中的权限。
    1. 子账号甲进入安全中心,默认是我的权限页面。
    2. 我的权限页面,选择工作空间环境,查看该工作空间对应环境下的表, 以及自己对哪些表拥有权限。
  • 子账号甲(普通用户角色)申请A、B两张表的权限。
    1. 子账号甲进入安全中心,默认是我的权限页面。
    2. 选中A、B两张表需要申请权限的字段,单击申请权限
    3. 表权限申请对话框中,配置各项参数。表权限申请
    4. 单击提交
  • 子账号甲(普通用户角色)等待审批人审批通过。
    1. 子账号甲进入安全中心
    2. 在左侧导航栏,单击审批中心
    3. 我的申请页签,查看子账号提交的申请的审批状态

      审批状态审批通过时,代表已具有相应的表权限,可以进行相关操作。

  • 子账号甲(普通用户角色)交还A表部分字段的权限。
    1. 子账号甲进入安全中心,默认是我的权限页面。
    2. 表权限页签,单击A表操作栏中的查看,选择交还字段权限
    3. 交还字段权限对话框,选中需要交还的字段。确定
    4. 单击确定
  • 子账号甲(普通用户角色)交还A表操作权限。
    1. 子账号甲进入安全中心,默认是我的权限页面。
    2. 表权限页签,单击A表操作栏中的查看,选择交还操作权限
    3. 交还操作权限对话框,选中需要交还的权限。交还操作权限
    4. 单击确定

表Owner

子账号乙作为A表的表Owner进行审批,通过A表的申请。

子账号乙作为表Owner,除可以使用子账号甲作为普通用户的功能外,还可以进行自己作为表Owner的相关表的审批。

  1. 子账号乙进入安全中心
  2. 在左侧导航栏,单击审批中心
  3. 单击待我审批页签。
    待我审批
  4. 单击子账号甲提交的申请单后的审批,进入申请单详情页面查看审批记录和申请内容。
  5. 填写审批意见,并根据自身需求,单击同意拒绝
    同意

项目管理员

  • 主账号作为项目管理员进行审批,通过B表申请。
    1. 主账号进入安全中心
    2. 在左侧导航栏,单击审批中心
    3. 单击待我审批页签。
    4. 单击子账号刚刚提交的申请单后的审批,进入申请单详情页面查看审批记录和申请内容。
    5. 填写审批意见,并根据自身需求,单击同意拒绝
  • 主账号回收子账号B表的权限
    1. 主账号进入安全中心
    2. 在左侧导航栏,单击权限审计
    3. 找到子账号的B表,单击表名称前面的展开图标,展开表详情。
    4. 单击子账号操作栏中的回收操作权限
    5. 回收操作权限对话框,选中需要回收的权限。确定
    6. 单击确定,回收该账号拥有的当前数据表的权限。