文档

DLF数据访问权限控制

更新时间:

DataWorks为您提供DLF可视化权限申请、权限审批及权限审计等功能,帮助您实现数据湖全托管的统一权限管理,本文为您详细介绍如何进行DLF数据访问权限管控。

前提条件

  • 已将DLF设置为计算引擎元数据服务。

    例如,EMR已将DLF设置为元数据服务,并开启DLF-Auth组件实现数据湖构建DLF的权限功能,详情请参见DLF-Auth

  • 已了解DLF数据权限,详情请参见数据权限概述

背景信息

首次通过DataWorks管控数据湖构建平台(DLF)权限时,DataWorks会提示您授权DtaWorks访问数据湖构建的相关权限。授权时,系统会自动创建一个服务关联角色AliyunServiceRoleForDataWorksAccessDLF。关于AliyunServiceRoleForDataWorksAccessDLF策略相关说明。详情请参见:附录:DataWorks访问DLF的服务关联角色

DLF数据访问权限管控流程

DLF管控流程
角色说明
权限申请人可以通过权限申请页面申请相关表权限。对于已提交的申请,支持通过权限申请记录页面查看当前阿里云账号提交的申请记录。
权限审批人可以通过权限审批页面查看待我审批的表权限。对于已审批的申请,支持通过权限审批记录页面查看当前阿里云账号审批通过的表。
说明 RAM用户(子账号)需要具备Admin(数据湖管理员)或super_administrator(超级管理员)的权限,才可进行权限审批操作。关于DLF角色管理,详情请参见角色管理
权限审计人阿里云主账号或空间管理员进入权限审计页面查看工作空间下的成员及其拥有的表权限详情,还支持对工作空间下某成员所拥有的权限进行回收。

进入数据访问控制

登录DataWorks控制台,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

权限申请

  1. 进入权限申请页签。
  2. 选择要申请的表。
    1. 申请内容区域,选择引擎类型数据湖构建(DLF)。并设置Catalog授权粒度
      授权粒度包括字段级权限、表级权限、元数据库级权限。
      • 选择字段级权限和表级权限时:您可以在待添加表区域,勾选需要申请的目标表,勾选目标表后,右侧会显示目标表的相关信息。单击表名称展开图标,显示当前表的所有字段,您可以选择申请目标表的部分或全部字段的权限。
      • 选择元数据库级权限时:您可以勾选需要申请的元数据名称,并在元数据库权限列表勾选需要申请的权限点。
  3. 配置申请信息
    参数描述
    使用者选择需要为谁申请权限。
    • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。
    • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。
    工作空间选择需要在哪个空间使用表。
    申请时长支持您按需自定义申请表权限的时长,过期权限将自动收回。
    申请原因输入申请目标表权限的原因。
  4. 单击申请权限,提交申请。
    您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

权限审批

说明 RAM用户(子账号)需要具备Admin(数据湖管理员)或super_administrator(超级管理员)的权限,才可进行权限审批操作。
  1. 查看待审批的申请。
    进入权限审批页面,选择引擎类型为数据湖构建(DLF),并根据筛选条件,查看当前登录的阿里云账号名下需要审批的申请信息。
    说明 同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。
  2. 查看审批详情。
    单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情审批记录等详细信息。
  3. 审批申请。
    根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意拒绝当前申请。
    您也可以直接在权限审批页面,勾选全部申请,单击批量同意批量拒绝,填写审批意见,批量处理目标申请。

查看权限申请及审批记录

  • 查看权限申请记录:您可以根据审批状态申请时间工作空间等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态审批中的申请,您可以继续后续的审批操作。

  • 查看权限审批记录:您可以根据申请账号审批结果工作空间等条件进行筛选,查看当前登录的阿里云账号的审批记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。

  • 本页导读 (1)
文档反馈