DataWorks支持授权某角色或成员,在产品模块拥有指定数据源的查询权限;同时,对查询结果可执行的展示、复制、下载、分享等操作进行权限管控,确保数据操作的安全性。本文为您介绍数据查询与分析管控的相关内容。

背景信息

  • 授权可查询数据源

    DataWorks的数据源分为绑定引擎时默认创建的引擎数据源,及在数据源配置界面创建的自建数据源。默认情况下,仅拥有引擎数据源或自建数据源访问身份的用户,可访问并使用DataWorks的数据源。您可通过数据查询与分析管控功能,授予某成员或角色在指定产品模块拥有目标数据源的查询权限。

    相关重要功能说明如下。
    功能 描述
    访问身份
    • 引擎数据源的访问身份,可通过引擎绑定页面指定。
    • 默认配置自建数据源的用户拥有该数据源的访问身份。
    说明 成员或角色被授权数据源查询权限后,将获得与数据源访问身份同样的权限。为保障数据的安全性(特别是生产数据),建议您合理规划后谨慎分配权限。查看数据源访问身份,详情请参见附录:查看数据源的访问身份
    工作空间模式及数据源环境

    标准模式工作空间的开发环境和生产环境需分别绑定引擎,同时会产生不同的数据源,因此您需进入对应环境获取数据源访问身份。工作空间模式差异及数据源环境,详情请参见工作空间模式差异数据源环境介绍
  • 管控查询结果相关操作
    DataWorks默认支持下载并分享查询结果数据。您可通过数据查询与分析管控功能,管控DataWorks的数据开发(DataStudio)和数据分析模块中针对查询结果的相关操作(例如,展示、复制、下载、分享),保障数据的操作安全。DataWorks支持以单个角色为粒度进行管控,并且可对每个成员在不同工作空间设置不同的管控策略。
    说明 DataWorks默认下载的查询结果不能超过10000条。

使用限制

  • 授权可查询数据源
    数据查询与分析管控 > 可查询数据源功能的使用限制如下。
    限制类别 限制描述
    角色权限
    • 租户管理员租户安全管理员可展示所有工作空间,并执行数据源授权操作。全局角色权限,详情请参见权限详情:全局角色
    • 仅支持授权用户所管理工作空间(即用户为工作空间的空间管理员)中的数据源权限。空间级角色权限,详情请参见权限详情:空间级角色
    数据源类型 目前仅展示数据分析模块支持的数据源类型。
    说明
    • 数据分析支持的数据源,详情请参见SQL查询支持的数据源
    • 绑定引擎时自动创建的MaxCompute数据源,不支持授权生产数据源的权限。在数据分析查询时,可通过指定表所在项目去访问生产表,且默认使用当前执行人账号查询数据。
    生效模块 目前仅支持授权数据源在数据分析模块中的查询权限。
    操作限制 目前仅支持授权数据源的查询权限。若要对数据源的读写操作进行权限管控,请参考数据集成任务审批流程
  • 管控查询结果相关操作

    数据查询与分析管控 > 查询结果管控功能的使用限制如下。

    限制类别 限制描述
    角色权限
    • 租户管理员租户安全管理员可展示所有工作空间,并配置查询结果管控策略。全局角色权限,详情请参见权限详情:全局角色
    • 仅支持授权用户所管理工作空间(即用户为工作空间的空间管理员)中的查询结果管控策略。空间级角色权限,详情请参见权限详情:空间级角色
    生效模块 该功能仅对数据开发(DataStudio)、数据分析功能模块生效。
    操作限制 目前仅支持展示、复制、下载、分享查询结果,其中:
    • 展示条数:最大展示10000条,默认10000条。
    • 复制条数:最大复制100条,默认100条。
    • 下载条数:DataWorks基础版用户默认最多下载10000条;非基础版用户默认下载10000条,最大下载200000条。

进入数据查询与分析管理

  1. 进入安全中心。
    1. 登录DataWorks控制台
    2. 在左侧导航栏,单击工作空间列表
    3. 选择工作空间所在地域后,单击相应工作空间后的数据开发
    4. 单击左上角的图标图标,选择全部产品 > 数据治理 > 安全中心
  2. 进入数据查询与分析管控
    1. 单击顶部菜单栏的安全策略
    2. 安全策略页面,单击左侧导航栏的数据查询与分析管控
      在数据查询与分析管控页面,您可执行如下操作:

授权可查询数据源

您可根据下图步骤,授权某成员或角色,拥有指定工作空间数据分析模块中目标数据源的查询权限。授权可查询数据源配置要点如下。
参数 描述
工作空间 仅支持选择当前账号为空间管理员的工作空间。选择后,将为您展示该工作空间中所有数据源,您可对数据源执行相应授权操作。
说明 授权用户为工作空间管理员,详情请参见空间级模块权限管控
授权对象 需查询的目标数据源,包括绑定引擎后默认生成的引擎数据源及用户自建的数据源。
说明
  • 引擎数据源:
    • MaxCompute数据源仅支持为开发数据源授权。
    • 非MaxCompute数据源可选择为开发或生产数据源授权。
  • 自建数据源:可通过数据集成创建,详情请参见创建与管理数据源
被授权空间角色 选择可查询目标数据源的空间角色。
被授权空间成员 选择可查询目标数据源的空间成员。
说明 仅支持选择所选工作空间中的成员。添加用户为工作空间成员,详情请参见空间级模块权限管控
查询模块 本次授权生效的功能模块。当前仅支持授权某成员或角色,拥有指定数据源在数据分析模块的查询权限。

管控查询结果相关操作

您可对具有数据查询功能的数据开发(DataStudio)、数据分析模块配置查询结果管控策略,确保数据操作的安全可靠。
  1. 创建策略。
    按照下图步骤,在查询结果管控页签创建并配置策略。创建管控策略配置要点如下。
    参数 描述
    管控范围 选择当前策略生效的工作空间及空间角色。
    说明
    • 租户管理员租户安全管理员可展示所有工作空间,并执行数据源授权操作。全局角色权限,详情请参见权限详情:全局角色
    • 仅支持授权用户所管理工作空间(即用户为工作空间的空间管理员)中的数据源权限。空间级角色权限,详情请参见权限详情:空间级角色
    管控内容 自定义当前策略针对查询结果相关操作的管控内容。
    • 该策略仅针对具有查询功能的数据开发(DataStudio)、数据分析模块生效。
    • 仅非基础版DataWorks用户可设置下载数据的上限为200000。
    • 单击添加水印图标,可使用时间、用户名、用户ID等变量为查询结果添加水印,便于出现数据泄露时追溯源头。
  2. 查看并管理策略。
    管控策略创建完成后,您可在策略列表查看策略的基本信息,并执行相关操作。查看并执行策略
    • 生效:启用管控策略。开启后,策略中涉及的管控范围执行相关管控操作时,需进行相应审批流程,审批通过后,才可继续执行该操作。
    • 停止:禁用管控策略。禁用后,该策略不生效。仅支持对生效中的策略执行该操作。
    • 删除:策略删除后将无法恢复,请谨慎操作。

附录:查看数据源的访问身份

  • 查看引擎数据源访问身份
    您可在工作空间配置 > 计算引擎信息查看目标数据源的访问身份。进入引擎绑定页面,详情请参见进入引擎绑定页面
    数据源类型 说明
    MaxCompute数据源 当选择为MaxCompute的开发数据源授权,则在数据分析查询时,默认通过当前任务执行者账号查询数据。
    示例查看MaxCompute开发数据源的访问身份。查询MC开发环境访问身份
    非MaxCompute数据源 当选择为非MaxCompute类型的引擎数据源授权(例如,EMR引擎数据源)时,需根据所选数据源类型,确认生产或开发环境的访问身份。
    示例查看EMR开发及生产数据源的访问身份。查询非MC数据源的访问身份
  • 查看自建数据源访问身份
    您可在工作空间管理 > 数据源管理查看目标数据源的访问身份。进入数据源管理,详情请参见创建与管理数据源查看自建数据源访问身份