通过行级权限可以管控数据表的查看范围,可以让不同角色更聚焦于自己所关注的数据,并且提高数据安全性。本文为您介绍如何添加及管理行级权限。
前提条件
已购买行级权限增值服务,详情请参见开通Dataphin。
使用限制
超级管理员拥有所有数据表行、列权限,不受行级权限管控。
如果数据表开启了行级权限,且表负责人不在行级权限的授权列表内,则该表负责人将不会拥有该数据表的任一行级权限。
行级权限针对计算引擎中的表生效,不对数据源中的表生效。
在离线研发和分析中,支持查看、全量下载自己有权限的行数据(行级权限仅针对查表数据生效,若执行改表结构、改表数据、删除表时,行级权限不生效)。
在离线集成中,当数据表来源选择项目时,支持同步自己有权限的行数据。
在目录-数据预览中,支持查看自己有权限的行数据。
在创建行为关系、离线视图时,生产账号支持读取有权限的行数据。
在调用API过程中,用户不受行级权限管控。
权限说明
拥有管理行级权限的自定义角色和超级管理员、安全管理员在内的系统角色支持添加及管理行级权限。
添加行级权限
在Dataphin首页,在顶部菜单栏选择管理中心 > 权限管理。
单击左侧导航栏的行级权限,在行级权限管理页面单击+添加行级权限按钮,进入新增行级权限页面。
在新增行级权限页面,配置参数。
参数
描述
权限名称
行级权限的名称,全局唯一,不超过64个字符。
描述说明
添加行级权限的说明,不超过128个字符。
控制字段
填写需要管控的字段。字段名称和字段说明不超过64个字符,字段类型支持文本类型和数值类型。
管控规则
添加权限的管控规则,配置详情请参见新建管控规则。
当新增一个规则时,系统默认添加所有行可见规则,您可以授权可见用户或开启、停用该规则。
其他规则:支持编辑、删除操作。
编辑:支持修改规则的配置信息。
删除:删除后,该规则下已授权的用户权限将被回收。
关联表
添加管控的数据表,您可以对已添加的表执行去资产、删除操作。配置详情请参见新增关联表。
去资产:支持跳转至目录下当前表详情页面查看更多信息。
删除:数据表删除后不可撤销。
查看受影响生产账号
所选关联表如果存在下游表,开启行级权限后,可能对下游表的产出任务造成影响,建议给下游表所在项目的生产账号添加所有行可见权限,详情请参见查看受影响生产账号。
单击确定,完成行级权限规则配置。
新建管控规则
单击+新建管控规则按钮,在新增管控规则对话框中,配置参数后,单击确定。
参数 | 说明 |
规则名称 | 权限的规则名称,所属权限下名称唯一,不超过64个字符。 此规则名称将在申请相关的数据表权限时展示。 |
权限表达式 | 针对管控的字段添加表达式,支持的运算条件包括:等于(=)、不等于(≠)、大于(>)、大于等于(≥)、小于(<)、小于等于(≤)、属于(in)、不属于(not in)、包含(like)、不包含(note like)。
|
授权用户 | 单击添加授权账户按钮,对用户进行授权,支持授权的账号类型为个人账户、生产账户、用户组。单击保存 说明 已被当前规则授权的用户不支持再次授权,支持删除后,再进行授权。 |
图标进行保存即完成账户的添加。新增关联表
单击+新增关联表按钮,在新增关联表对话框中,配置参数后,单击确定。
支持新增不超过50张数据表。
您可以搜索需要关联的数据表,系统会为您匹配与管控字段的名称、数据类型相同的字段,支持修改;若需批量添加数据表,您可以单击批量搜索并添加,在批量搜索对话框中输入需要添加的表名,系统将快速搜索相关数据表。多个表使用换行符(\n)、半角分号(;)、半角逗号(,)分割,最多可输入100个表,仅支持精确搜索。
查看受影响生产账号
单击查看受影响生产账号按钮,在受影响的生产账号对话框中,配置参数后,单击确定。
区域 | 描述 |
①搜索 | 支持搜索当前受影响的生产账号。 |
②受影响生产账号列表 | 为您展示任务所属项目的生产账号、当前权限、授予权限信息。同时,您可以查看受影响的下游表。
|
③授权 | 支持批量为生产账号添加当前行级权限中所有行级规则。 此处配置的权限将覆盖授予权限中配置的权限。 |
管理行级权限
您可以在行级权限管理列表查看已配置的行级权限规则、相关表等信息。
区域 | 描述 |
①筛选与搜索 | 您可以按照行级权限的名称进行搜索,也可以按照相关表进行筛选。 |
②说明 | 您可以查看行级权限原理介绍,包括图例模式和SQL代码。
|
③行级权限列表 | 为您展示行级权限的名称、管控规则、关联表、操作人、操作时间信息。同时,您可以对权限执行查看、编辑、删除操作。
|
