作为工作空间的管理者,在使用数据开发(DataStudio)时,您可针对用户的开发行为,进行开发流程、数据安全等相关操作的相应管控。本文为您介绍管理者如何使用相关功能进行数据开发管控。
背景信息
管控类别
数据开发(DataStudio)支持的开发管控类别如下:
说明 不同DataWorks版本对本文涉及的管控功能支持情况可能存在差异,使用时可查阅各功能文档。DataWorks版本详情,请参见DataWorks各版本详解。
流程管控与操作检查
您可通过下表功能检查相关开发流程并进行相应流程管控。
| 功能点 | 说明 | 相关文档 |
|---|---|---|
| 任务开发与发布权限控制 | 通过赋予用户不同角色权限,控制是否可以实现相应功能。具体如下:
|
角色及成员管理:空间级 |
| 强制代码评审 | 用于保障代码正确性。该功能开启后,开发人员提交的节点代码必须通过评审人员的审核才可发布。
说明 可指定代码评审的基线范围(即对哪类基线任务进行评审),把控高优先级任务的代码质量,防止任务运行失败阻塞其他任务运行。
|
代码评审 |
| 强制冒烟测试 |
|
冒烟测试 |
| 扩展点流程卡点与检查 | 工作空间内任务提交或发布前,校验相关扩展程序或检查项。
|
数据建模:数据建模系统管理 |
说明 标准模式工作空间的发布操作默认为同空间发布,若您存在跨空间、跨云发布场景,则可选择使用发布中心进行分布。您可基于场景进行发布任务的管控,详情请参见发布中心概述。
数据安全管控
您可通过下表功能实现工作空间内数据的安全管控。
| 功能点 | 说明 | 相关文档 |
|---|---|---|
| 数据脱敏 | 是否对敏感数据进行脱敏。启用该功能后,当在DataWorks中运行代码后返回的数据命中了脱敏规则,DataWorks会对显示的数据做脱敏处理。
说明
|
|
| 数据下载 | 是否允许开发人员下载查询结果至本地。 | -- |
| 数据源读写权限控制 | 是否允许开发人员修改同步任务配置。 | 数据集成审批策略 |
| 表权限审批策略 | 是否需要自定义MaxCompute引擎的表、资源、函数的审批流程。
说明 可基于MaxCompute项目维度或数据保护伞分级分类维度定义审批流程适用的数据范围。
|
计算引擎审批策略 |
| 其他 | 是否需要控制MaxCompute的其他安全操作。例如,使用ACL授权、允许对象创建者授权对象、使用Policy授权、启动列级别访问控制等。 | MaxCompute高级配置 |
审计操作
您可通过数据开发查看操作日志、恢复数据,并进行相关审计操作。
- 查看操作日志
操作 说明 相关文档 查看数据开发操作历史 用于查看批量相关操作,提交单个节点、业务流程、表,下载查询结果,删除节点等操作记录,快速了解相关变更。 操作历史 获取用户行为审计日志 通过操作审计(ActionTrail)获取DataWorks界面的相关操作(例如,通过界面下载数据)。 说明 DataWorks已对接ActionTrail,您可在ActionTrail中查看及检索阿里云账号最近90天的DataWorks行为事件日志,通过ActionTrail将事件日志投递至日志服务LogStore或指定的OSS Bucket,实现对事件的监控及告警,满足及时审计、问题回溯分析等需求。通过操作审计查询行为事件日志 数据脱敏及泄露数据溯源 为防止重要文件泄露,您可通过数据保护伞的脱敏配置,对重要数据设置脱敏规则,并依据数据水印功能对泄露数据进行溯源。 说明仅空间管理员或安全管理员角色的用户,以及拥有
AliyunDataWorksfullAccess权限策略的用户可在数据保护伞自定义脱敏规则。MaxCompute表权限审计 在的权限审计,查看拥有表权限的人员列表、权限详情及权限有效期,您可根据需要判断是否回收表权限。 数据访问控制 - 恢复数据
操作 说明 相关文档 节点恢复 您可使用数据开发的回收站还原近期删除的节点。 说明 节点还原后,节点ID是新生成的,与原ID不一致。回收站 节点版本对比与回滚 您可在节点或业务流程编辑页面右侧导航栏的版本面板,对比不同版本间的差异,回滚节点或业务流程至所需版本。 查看版本