安全设置是您可以对数据安全及访问进行精细化控制、对Spark Jar任务的开关及鉴权模式的设置,来保障数据的安全性。本文为您介绍如何设置严格权限模式和Spark Jar任务。
严格权限模式
背景信息
Dataphin管理中心支持项目安全模式设置功能,在未设置的情况下,会存在以下安全问题:
不同项目,在项目管理员不知情的情况下,用户可以随意跨项目进行DDL操作。
说明DDL语句详情,请参见DDL语句。
同一项目,用户可以在Dev环境直接操作Prod环境的数据,造成Prod环境数据泄漏或意外变更。
下表以开发者角色为例,介绍安全模式开启与关闭的情况下,对项目的操作权限。
操作
默认(权限模式均未开启)
跨项目安全模式(开启)
生产数据安全模式(开启)
当前项目Dev环境的所有表操作
支持
-
-
当前项目Prod环境的所有表操作
支持
-
不支持
跨项目查询
支持
-
-
跨项目DDL
支持
不支持
-
重要设置安全模式后,项目数据有更高的安全性,但是会导致系统使用流畅程度下降,建议您根据业务需求进行设置。
表示当前操作不受跨项目安全模式或生产数据安全模式功能管控。
严格权限模式的默认配置
在Dataphin首页的顶部菜单栏,选择管理中心 > 规范设置。
在左侧导航栏选择数据访问 > 安全设置,进入安全设置页面。
在安全设置页面,单击严格权限模式页签,在默认配置区域,开启或关闭跨项目安全模式、生产数据安全模式。
严格权限模式
描述
跨项目安全模式
关闭:在具备操作目标对象权限的前提下,允许跨项目执行DDL任务。
开启:禁止跨项目执行和提交DDL任务(包括建表、删表、改表等)。
生产数据安全模式
关闭:允许在Dev环境修改Prod环境数据。
开启:在Dev环境将不能修改Prod环境的数据(包括表的增删改)。
说明开启后,如需修改Prod环境的数据,需要走发布流程,详情请参见发布中心。
严格权限模式的项目配置
未单独配置的项目以默认配置为准。
每个项目仅可配置一次安全模式。
在严格权限模式页签,单击添加安全模式配置按钮。
在添加安全模式配置对话框,选择需要开启严格权限模式的项目。
参数
描述
项目
选择需要配置安全模式的项目,支持多选。
跨项目安全模式
开启:禁止从任意项目到当前项目DDL(create、drop、alter)。
关闭:允许有权限的账号跨项目执行DDL操作。
生产数据安全模式
开启:禁止从任意项目DDL(create、drop、alter)该项目的生产环境。
关闭:允许有权限的账号DDL该项目的生产环境数据。
说明开启后,如需修改Prod环境的数据,需要走发布流程,详情请参见发布中心。
单击确定,完成项目级的严格权限模式配置。
项目配置列表
支持在项目配置列表查看项目的名称、跨项目安全模式和生产数据安全模式的状态。
(可选)您可以根据项目的名称搜索目标项目。
您可以对目标项目执行如下操作。
操作
描述
查看安全模式说明
可单击跨项目安全模式或生产数据安全模式后的
图标,再单击查看图解,了解跨项目安全模式和生产数据安全模式的管控详情。编辑
可添加或减少项目、开启或关闭跨项目安全模式和生产数据安全模式的状态。
删除
项目安全模式配置删除后不可撤销,请谨慎操作。
Spark Jar任务
背景信息
在使用Spark Jar任务时,需要对逻辑表的访问进行鉴权(读、写等权限)。
不同的计算引擎支持不同版本的Spark Jar任务(MaxCompute引擎中的Spark Jar任务默认使用Spark v2.4.5。Hadoop引擎中的Spark Jar任务使用的版本为TBD)。
MaxCompute引擎下可开启Spark Jar任务鉴权模式。Hadoop引擎下(除Inceptor外)不可开启Spark Jar任务鉴权模式。
使用限制
当计算引擎为ArgoDB、Lindorm、StarRocks、GaussDB(DWS)、Databricks时,不支持配置Spark Jar任务。
操作步骤
在管理中心页面,单击Spark Jar任务页签,开启或关闭Spark Jar任务、鉴权模式。
Spark Jar任务
描述
Spark Jar任务
关闭:原有的Spark Jar任务仍可进行编辑、删除、执行、提交、发布等操作。
开启:支持创建Spark Jar任务。
鉴权模式
关闭:需开启OpenAPI功能模块的情况下才可开启。
开启:鉴权开启后,Spark Jar的任务的数据访问将进行权限校验,原有的任务若无相应权限,则将导致任务执行失败。
说明开启后可访问逻辑表,且使用逻辑项目和板块的方式访问数据表。
单击确定,完成配置。