为了更好地管控项目空间中的数据安全及数据处理能力,Dataphin支持通过项目空间全局管理数据结果下载权限、数据读写权限、访问权限(沙箱白名单)、开启资产安全策略、成员的操作权限及添加计算源。本文为您介绍如何管理项目空间的权限和添加计算源。

前提条件

完成项目空间的创建,请参见创建Basic项目空间创建Prod和Dev项目空间

场景说明

功能 使用场景说明 使用限制
设置数据结果下载权限 Dataphin支持通过项目粒度的方式,管控项目空间中数据查询(即席查询或计算任务)结果的下载权限,以规避数据泄露的问题:
  • 关闭后,则系统通过执行代码(即席查询或计算任务),查询的数据结果无法下载。
  • 开启后,则系统支持下载查询数据结果至本地客户端,请参见下载数据
系统仅支持超级管理员和项目管理员角色的成员操作
设置数据读写申请权限 Dataphin支持通过项目粒度的方式,管控项目空间中的元表和物理表的读取和写入数据的权限申请。以规避审批者误操作,导致的数据泄露与安全问题:
  • 关闭数据读和写权限申请后,当前项目下物理表及元表不支持申请查询和写入的权限,系统不收回已申请过的查询和写入的权限。
  • 开启数据读和写权限申请后,当前项目下的物理表及元表支持申请查询和写入权限。申请查询和写入权限的更多信息,请参见申请权限
安装资产安全策略 安装资产安全策略后,即可定义当前项目下资产的业务分类和安全等级,并构建敏感数据识别规则,同时支持设置敏感数据脱敏规则,以保障数据资产的安全性。更多资产安全策略信息,请参见资产安全
添加沙箱白名单 配置项目空间中的Shell、Python任务可以访问的IP地址或域名。
添加项目成员 为项目空间添加成员。被添加的成员即可具有角色对应的权限,请参见表 1

设置数据结果下载权限

  1. 请参见入口介绍,进入项目管理页面。
  2. 项目管理页面,单击需要修改DevProd项目下的信息设置
  3. 信息设置对话框的通用功能控制区域,选择是否需要开启数据结果下载权限。
    dfGF
    注意 系统仅支持非访客角色的用户下载数据结果至本地。
  4. 单击确定,即可开启或关闭数据结果下载权限。
    • 关闭后,则系统通过执行代码(即席查询或计算任务),查询的数据结果无法下载。
    • 开启后,则系统支持下载查询数据结果至本地客户端,请参见下载数据

设置数据读写申请权限

  1. 请参见入口介绍,进入项目管理页面。
  2. 项目管理页面,单击需要修改DevProd项目下的信息设置
  3. 信息设置对话框的通用功能控制区域,选择是否需要开启数据读写权限申请权限。
    FAGA
  4. 单击确定,即可开启或关闭数据读写权限的申请。
    开启或关闭数据写权限申请:
    • 关闭数据写权限申请后,当前项目下的物理表及元表不支持申请写入权限,同时系统不收回已申请过的写入权限。
    • 开启数据写权限申请后,当前项目下的物理表及元表支持申请写入权限。申请写入权限的更多信息,请参见申请权限
    开启或关闭数据读权限申请:
    • 关闭数据读权限申请后,当前项目下物理表及元表不支持申请查询权限,同时系统不收回已申请过的查询权限。
    • 开启数据读权限申请后,当前项目下的物理表及元表支持申请查询权限。申请查询权限的更多信息,请参见申请权限

安装资产安全策略

  1. 请参见入口介绍,进入项目管理页面。
  2. 项目管理页面,单击需要修改DevProd项目下的信息设置
  3. 信息设置对话框的通用功能控制区域,单击安装,系统显示安装中
    一般安装需要30分钟左右,请您耐心等待。
    fagaga
  4. 安装完成后,单击确定,即可使用资产安全策略。
    安装资产安全策略后,即可定义当前项目下资产的业务分类和安全等级,并构建敏感数据识别规则,同时支持设置敏感数据脱敏规则,以保障数据资产的安全性。如何使用资产安全策略,请参见资产安全

添加沙箱白名单

  1. 请参见入口介绍,进入项目管理页面。
  2. 项目管理页面,单击需要修改DevProd项目下的信息设置
  3. 信息设置对话框的沙箱白名单区域,添加该项目空间下输入Shell、Python任务需要访问的IP地址或域名。
    gaga
    1. 单击新建
    2. 根据页面提示,输入Shell、Python任务需要访问的IP地址或域名。
      注意 必须填写可以被访问到的IP地址或域名。
    3. 单击gagaga图标。
  4. 单击确定,Shell、Python任务可以访问对应的IP地址或域名。
    对于已添加的沙箱白名单,您也可以单击操作列下的gagag图标,删除后项目空间下的Shell、Python任务,将无法访问对应的IP地址或域名。

添加项目成员

  1. 请参见入口介绍,进入项目管理页面。
  2. 项目管理页面,单击需要修改项目下的成员管理
  3. 成员管理对话框,单击添加成员
    ga
  4. 添加成员。
    1. 添加成员对话框,选择成员和成员的角色。
      项目空间中不同角色成员的权限不同,权限概述详情见下表,详细信息请参见权限管理
      表 1. 角色对应权限概述
      角色 权限范围概述
      超级管理员 具有管理Dataphin成员及项目成员的权限、项目文件(含逻辑表)的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。超级管理员角色的成员默认为所有项目的项目管理员,不支持从项目空间中移除。
      项目管理员 具有管理项目成员的权限、项目文件(含逻辑表)的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。项目管理员角色的成员的角色支持修改、同时支持从项目空间中移除。
      开发者 具有项目文件(含逻辑表)的增加、删除、修改、发布权限、项目节点的操作权限、建表及负责人为自己的表删除、修改的权限。开发者角色的成员的角色支持修改、同时支持从项目空间中移除。
      运维 具有将项目文件从Dev项目发布至Prod项目的权限,具有项目节点的操作权限,具有项目建表权限、项目表删除、修改及查询权限。运维角色的成员的角色支持修改、同时支持从项目空间中移除。
      分析师 具有项目文件(含逻辑表)的查看权限及项目即席查询文件增加、删除、修改权限、项目节点的查看权限、项目数据查询权限。分析师角色的成员的角色支持修改、同时支持从项目空间中移除。
      访客 具有项目文件(含逻辑表)的查看权限、项目节点的查看权限、项目数据的查询权限。访客角色的成员的角色支持修改、同时支持从项目空间中移除。
      如果是Dev或Prod项目,则您可以选中为对应项目添加成员的配置项。系统支持同时为对应项目添加成员,提高了添加成员的效率。sgsg添加成员的角色对应关系如下表所示。
      当前项目 当前项目角色 对应项目角色
      Prod 项目管理员 项目管理员
      运维 开发者
      访客 访客
      Dev 项目管理员 项目管理员
      开发者 运维
      分析师 访客
      访客 访客
      注意 如果对应项目中已有该成员,则保持原有角色不做覆盖。
    2. 单击确定
  5. 单击确定,被添加的成员可以进入当前项目空间进行建设或查询数据。
    系统支持修改项目中的项目管理员、开发者、运维、分析师和访客角色成员的角色,及支持从项目空间中移除项目管理员、开发者、运维、分析师和访客角色的成员。
    注意 系统不支持修改超级管理员的角色,同时不支持从项目空间中移除超级管理员角色的成员。
    功能 操作步骤
    修改成员角色
    1. 成员管理对话框,单击需要修改成员后的gagag图标。
    2. 在下拉列表中,选择角色。关于不同角色对应权限概述,请参见表 1。详细的权限信息,请参见权限管理
    3. 单击确定,修改角色的成员仅具有修改后角色对应的权限。权限信息,请参见表 1
    移除项目中的成员
    1. 成员管理对话框,需要删除成员操作列下的faga图标。

      您也可以选中多个成员后,单击成员管理对话框下方的批量移出

    2. 在确认对话框中,单击确定
    3. 单击确定,被移除的成员不具有当前项目空间的任何操作权限。