添加及管理行级权限

通过行级权限可以管控数据表的查看范围,可以让不同角色更聚焦于自己所关注的数据,并且提高数据安全性。本文为您介绍如何添加及管理行级权限。

前提条件

已购买行级权限增值服务并且当前租户已开通行级权限功能。

使用限制

  • 超级管理员拥有所有数据表行、列权限,不受行级权限管控。

  • 如果数据表开启了行级权限,且表负责人不在行级权限的授权列表内,则该表负责人将不会拥有该数据表的任一行级权限。

  • 行级权限针对计算引擎中的表生效,不对数据源中的表生效。

  • 在离线研发和分析中,支持查看、全量下载自己有权限的行数据(行级权限仅针对查表数据生效,若执行改表结构、改表数据、删除表时,行级权限不生效)。

  • 在离线集成中,当数据表来源选择项目时,支持同步自己有权限的行数据。

  • 在目录-数据预览中,支持查看自己有权限的行数据。

  • 在创建行为关系、离线视图时,生产账号支持读取有权限的行数据。

  • 在调用API过程中,用户不受行级权限管控。

权限说明

拥有管理行级权限的自定义角色和超级管理员、安全管理员在内的系统角色支持添加及管理行级权限。

添加行级权限

  1. 在Dataphin首页,在顶部菜单栏选择管理中心 > 权限管理

  2. 单击左侧导航栏的行级权限,在行级权限管理页面单击+添加行级权限按钮,进入新增行级权限页面。

  3. 新增行级权限页面,配置参数。

    参数

    描述

    权限名称

    行级权限的名称,全局唯一,不超过64个字符。

    描述说明

    添加行级权限的说明,不超过128个字符。

    控制字段

    填写需要管控的字段。字段名称和字段说明不超过64个字符,字段类型支持文本类型数值类型

    管控规则

    添加权限的管控规则,配置详情请参见新建管控规则

    • 当新增一个规则时,系统默认添加所有行可见规则,您可以授权可见用户或开启、停用该规则。

    • 其他规则:支持编辑、删除操作。

      • 编辑:支持修改规则的配置信息。

      • 删除:删除后,该规则下已授权的用户权限将被回收。

    关联表

    添加管控的数据表,您可以对已添加的表执行去资产、删除操作。配置详情请参见新增关联表

    • 去资产:支持跳转至目录下当前表详情页面查看更多信息。

    • 删除:数据表删除后不可撤销。

    查看受影响生产账号

    所选关联表如果存在下游表,开启行级权限后,可能对下游表的产出任务造成影响,建议给下游表所在项目的生产账号添加所有行可见权限,详情请参见查看受影响生产账号

  4. 单击确定,完成行级权限规则配置。

新建管控规则

单击+新建管控规则按钮,在新增管控规则对话框中,配置参数后,单击确定

参数

说明

规则名称

权限的规则名称,所属权限下名称唯一,不超过64个字符。

此规则名称将在申请相关的数据表权限时展示。

权限表达式

针对管控的字段添加表达式,支持的运算条件包括:等于(=)、不等于(≠)、大于(>)、大于等于(≥)、小于(<)、小于等于(≤)、属于(in)、不属于(not in)、包含(like)、不包含(note like)。

  • 当运算条件选择等于(=)、不等于(≠)、大于(>)、大于等于(≥)、小于(<)、小于等于(≤)、包含(like)、不包含(note like)时,支持输入单个数值。

  • 当运算条件选择属于(in)、不属于(not in)时,支持输入多个数值,多个数值之间用英文半角逗号(,)分隔,您也可以单击批量编辑,在批量编辑枚举选项对话框中,输入枚举值,多个枚举值之间用英文半角逗号(,)或回车分隔,不超过10000个字符。

授权用户

单击添加授权账户按钮,对用户进行授权,支持授权的账号类型为个人账户、生产账户、用户组。单击保存image图标进行保存即完成账户的添加。

说明

已被当前规则授权的用户不支持再次授权,支持删除后,再进行授权。

新增关联表

单击+新增关联表按钮,在新增关联表对话框中,配置参数后,单击确定

说明

支持新增不超过50张数据表。

您可以搜索需要关联的数据表,系统会为您匹配与管控字段的名称、数据类型相同的字段,支持修改;若需批量添加数据表,您可以单击批量搜索并添加,在批量搜索对话框中输入需要添加的表名,系统将快速搜索相关数据表。多个表使用换行符(\n)、半角分号(;)、半角逗号(,)分割,最多可输入100个表,仅支持精确搜索。

查看受影响生产账号

单击查看受影响生产账号按钮,在受影响的生产账号对话框中,配置参数后,单击确定

image

区域

描述

搜索

支持搜索当前受影响的生产账号。

受影响生产账号列表

为您展示任务所属项目的生产账号、当前权限、授予权限信息。同时,您可以查看受影响的下游表。

  • 任务所属项目的生产账号:所添加关联表的下游任务所属的生产账号。

  • 当前权限:生产账号在当前行级权限中被授权的行级规则。

  • 授予权限:支持选择当前行级权限中所有行级规则。

  • 查看受影响的任务:单击操作列下的查看图标,查看当前所选关联表及下游表。

授权

支持批量为生产账号添加当前行级权限中所有行级规则。

此处配置的权限将覆盖授予权限中配置的权限。

管理行级权限

您可以在行级权限管理列表查看已配置的行级权限规则、相关表等信息。

image

区域

描述

筛选与搜索

您可以按照行级权限的名称进行搜索,也可以按照相关表进行筛选。

说明

您可以查看行级权限原理介绍,包括图例模式和SQL代码。

image

行级权限列表

为您展示行级权限的名称、管控规则、关联表、操作人、操作时间信息。同时,您可以对权限执行查看、编辑、删除操作。

  • 查看管控规则:单击管控规则的数量或查看图标,可查看该权限下的规则信息。

  • 查看关联表:单击关联表的数量或查看图标,可查看该权限下的关联表信息。

  • 查看行级权限:支持查看已配置的权限信息。

  • 编辑:不支持修改字段类型。

  • 删除:删除后,已引用该权限的数据表将不受行级权限管控。