安全设置是您可以对数据安全及访问进行精细化控制、对Spark Jar任务的开关及鉴权模式的设置,来保障数据的安全性。本文为您介绍如何设置严格权限模式和Spark Jar任务。
严格权限模式
背景信息
Dataphin管理中心支持项目安全模式设置功能,在未设置的情况下,会存在以下安全问题:
不同项目,在项目管理员不知情的情况下,用户可以随意跨项目进行DDL操作。
说明DDL语句详情,请参见DDL语句。
同一项目,用户可以在Dev环境直接操作Prod环境的数据,造成Prod环境数据泄漏或意外变更。
下表以开发者角色为例,介绍安全模式开启与关闭的情况下,对项目的操作权限。
操作
默认(权限模式均未开启)
跨项目安全模式(开启)
生产数据安全模式(开启)
当前项目Dev环境的所有表操作
支持
-
-
当前项目Prod环境的所有表操作
支持
-
不支持
跨项目查询
支持
-
-
跨项目DDL
支持
不支持
-
重要设置安全模式后,项目数据有更高的安全性,但是会导致系统使用流畅程度下降,建议您根据业务需求进行设置。
表示当前操作不受跨项目安全模式或生产数据安全模式功能管控。
严格权限模式的默认配置
在Dataphin首页的顶部菜单栏,选择管理中心 > 规范设置。
在左侧导航栏选择数据访问 > 安全设置,进入安全设置页面。
在安全设置页面,单击严格权限模式页签,在默认配置区域,开启或关闭跨项目安全模式、生产数据安全模式。
严格权限模式
描述
跨项目安全模式
关闭:在具备操作目标对象权限的前提下,允许跨项目执行DDL任务。
开启:禁止跨项目执行和提交DDL任务(包括建表、删表、改表等)。
生产数据安全模式
关闭:允许在Dev环境修改Prod环境数据。
开启:在Dev环境将不能修改Prod环境的数据(包括表的增删改)。
说明开启后,如需修改Prod环境的数据,需要走发布流程,详情请参见发布中心概述。
严格权限模式的项目配置
未单独配置的项目以默认配置为准。
每个项目仅可配置一次安全模式。
在严格权限模式页签,单击添加安全模式配置按钮。
在添加安全模式配置对话框,选择需要开启严格权限模式的项目。
参数
描述
项目
选择需要配置安全模式的项目,支持多选。
跨项目安全模式
开启:禁止从任意项目到当前项目DDL(create、drop、alter)。
关闭:允许有权限的账号跨项目执行DDL操作。
生产数据安全模式
开启:禁止从任意项目DDL(create、drop、alter)该项目的生产环境。
关闭:允许有权限的账号DDL该项目的生产环境数据。
说明开启后,如需修改Prod环境的数据,需要走发布流程,详情请参见发布中心概述。
单击确定,完成项目级的严格权限模式配置。
项目配置列表
支持在项目配置列表查看项目的名称、跨项目安全模式和生产数据安全模式的状态。
(可选)您可以根据项目的名称搜索目标项目。
您可以对目标项目执行如下操作。
操作
描述
查看安全模式说明
可单击跨项目安全模式或生产数据安全模式后的
图标,再单击查看图解,了解跨项目安全模式和生产数据安全模式的管控详情。编辑
可添加或减少项目、开启或关闭跨项目安全模式和生产数据安全模式的状态。
删除
项目安全模式配置删除后不可撤销,请谨慎操作。
Spark Jar任务
背景信息
在使用Spark Jar任务时,需要对逻辑表的访问进行鉴权(读、写等权限)。
不同的计算引擎支持不同版本的Spark Jar任务(MaxCompute引擎中的Spark Jar任务默认使用Spark v2.4.5。Hadoop引擎中的Spark Jar任务使用的版本为TBD)。
MaxCompute引擎下可开启Spark Jar任务鉴权模式。Hadoop引擎下(除Inceptor外)不可开启Spark Jar任务鉴权模式。
操作步骤
在管理中心页面,单击Spark Jar任务页签,开启或关闭Spark Jar任务、鉴权模式。
Spark Jar任务
描述
Spark Jar任务
关闭:原有的Spark Jar任务仍可进行编辑、删除、执行、提交、发布等操作。
开启:支持创建Spark Jar任务。
鉴权模式
关闭:需开启OpenAPI功能模块的情况下才可开启。
开启:鉴权开启后,Spark Jar的任务的数据访问将进行权限校验,原有的任务若无相应权限,则将导致任务执行失败。
说明开启后可访问逻辑表,且使用逻辑项目和板块的方式访问数据表。
单击确定,完成配置。