DataWorks的数据访问控制,为您提供了访问MaxCompute引擎数据时的权限管控能力,包括权限申请、权限审批、权限审计,还支持您查看权限申请记录、权限审批记录。本文为您介绍MaxCompute数据访问权限管控。
前提条件
- 已了解MaxCompute数据权限控制详情。
- 已了解简单模式和标准模式的区别。
背景信息
应用场景
| 场景 | |
|---|---|
| 同工作空间内,开发环境用户访问生产环境表。 |  当DataWorks的子账号未被添加为生产环境计算引擎访问身份时,默认该账号无法在数据开发界面直接操作本工作空间的生产表,如果子账号需要拥有生产表权限,需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。 |
| 开发或生产环境用户访问跨工作空间的开发或生产环境表。 |  默认不在工作空间下的子账号无法在数据开发界面跨项目访问开发表或生产表。如果需要跨项目操作开发表或生产表,子账号需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。 |
数据访问权限管控流程
数据访问控制功能支持您进行权限申请、权限审批、权限审计的操作,还支持您查看权限申请记录、权限审批记录。在RAM用户(子账号)开发过程中没有相关表权限的场景下,可以通过权限申请界面申请对应权限。待审批人员(空间管理员或者表Owner)在权限审批页面通过申请后,便可获得权限。
说明 DataWorks的安全中心为您提供默认的权限申请审批流程,同时也支持您在审批中心自定义审批流程。当您申请MaxCompute引擎表字段权限时,DataWorks会根据申请的表字段来识别需要进行哪种类型的审批流程。
使用限制
目前仅支持申请MaxCompute表级与字段级权限。
注意事项
MaxCompute项目开启Policy权限控制后,该项目下的表才可以定义并在安全中心单独对表中具体字段申请权限。详情请参见:MaxCompute高级配置。关于MaxCompute Policy的说明请参见:Policy权限控制。功能介绍
| 角色 | 说明 |
|---|---|
| 权限申请人 | 可以通过权限申请页面申请MaxCompute表的权限。对于已提交的申请,支持通过权限申请记录页面查看当前登录的阿里云账号提交的申请记录。 |
| 权限审批人 | 可以通过权限审批页面查看我作为空间管理员或者表Owner时,需要审批的表权限。对于已审批的申请,支持通过权限审批记录页面查看当前登录的阿里云账号审批通过的表。 |
| 权限审计 | 阿里云主账号或空间管理员进入权限审计页面对工作空间下的成员及其拥有的表权限进行管控,支持对工作空间下某成员所拥有的权限进行回收。 |
进入数据访问控制
- 登录DataWorks控制台。
- 在左侧导航栏,单击工作空间列表。
- 选择工作空间所在地域后,单击相应工作空间后的进入数据开发。
- 单击左上角的
图标,选择,默认进入数据访问控制页面。
权限申请
- 选择要申请的表。
- 在待添加表区域,勾选需要申请的目标表。勾选目标表后,右侧会显示目标表的相关信息。单击表名称前
图标,显示当前表的所有字段,您可以选择申请目标表的部分或全部字段的权限。默认申请目标表全部字段的权限。
说明- MaxCompute项目开启Policy权限控制后,该项目下的表才可以定义并在安全中心单独对表中具体字段申请权限。详情请参见:MaxCompute高级配置。关于MaxCompute表中字段的安全等级说明,详情请参见:Label权限控制。
- 目前支持申请表级别的Select、Describe、Drop、Alter、Update、Download权限。同时支持您针对单个字段单独申请字段权限。
- 在待添加表区域,勾选需要申请的目标表。
权限审批
- 查看待审批的申请。进入权限审批页面,您可以根据申请账号、申请时间、工作空间、项目名称、对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。
说明 同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。
查看权限申请及审批记录
- 查看权限申请记录:您可以根据审批状态、申请时间、工作空间等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。
您还可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态为审批中的申请,您可以继续后续的审批操作。
- 查看权限审批记录:您可以根据申请账号、审批结果、工作空间等条件进行筛选,查看当前登录的阿里云账号的审批记录。
您还可以单击目标申请操作列的查看详情,查看申请的详细信息。