如何管理项目空间的权限和添加计算源_智能数据建设与治理 Dataphin-阿里云帮助中心

为了更好地管控项目空间中的数据安全及数据处理能力，Dataphin支持通过项目空间全局管理数据结果下载权限、数据读写权限、访问权限（沙箱白名单）、开启资产安全策略、成员的操作权限及添加计算源。本文为您介绍如何管理项目空间的权限和添加计算源。

前提条件

完成项目空间的创建，请参见创建项目。

场景说明

功能	使用场景说明	使用限制
设置数据结果下载权限	Dataphin支持通过项目粒度的方式，管控项目空间中数据查询（即席查询或计算任务）结果的下载权限，以规避数据泄露的问题：关闭后，则系统通过执行代码（即席查询或计算任务），查询的数据结果无法下载。开启后，则系统支持下载查询数据结果至本地客户端，请参见下载数据。	系统仅支持超级管理员和项目管理员角色的成员操作
设置数据读写申请权限	Dataphin支持通过项目粒度的方式，管控项目空间中的元表和物理表的读取和写入数据的权限申请。以规避审批者误操作，导致的数据泄露与安全问题：关闭数据读和写权限申请后，当前项目下物理表及元表不支持申请查询和写入的权限，系统不收回已申请过的查询和写入的权限。开启数据读和写权限申请后，当前项目下的物理表及元表支持申请查询和写入权限。申请查询和写入权限的更多信息，请参见申请权限。
安装资产安全策略	安装资产安全策略后，即可定义当前项目下资产的业务分类和安全等级，并构建敏感数据识别规则，同时支持设置敏感数据脱敏规则，以保障数据资产的安全性。更多资产安全策略信息，请参见资产安全概述。
添加沙箱白名单	配置项目空间中的Shell、Python任务可以访问的IP地址或域名。
添加项目成员	为项目空间添加成员。被添加的成员即可具有角色对应的权限。
添加计算源	拓展当前项目空间数据处理的能力。不同类型的计算源支持不同研发的任务。更多信息，请参见数据开发概述。重要对于已添加的计算源，系统不支持修改和删除。

设置数据结果下载权限

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的安全设置区域，选择是否需要开启数据结果下载权限。
重要
系统仅支持非访客角色的用户下载数据结果至本地。
单击确定，即可开启或关闭数据结果下载权限。
- 关闭后，则系统通过执行代码（即席查询或计算任务），查询的数据结果无法下载。
- 开启后，则系统支持下载查询数据结果至本地客户端，请参见下载数据。

设置数据读写申请权限

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的安全设置区域，选择是否需要开启数据读写权限申请权限。
单击确定，即可开启或关闭数据读写权限的申请。
开启或关闭数据写权限申请：
- 关闭数据写权限申请后，当前项目下的物理表及元表不支持申请写入权限，同时系统不收回已申请过的写入权限。
- 开启数据写权限申请后，当前项目下的物理表及元表支持申请写入权限。申请写入权限的更多信息，请参见申请权限。
开启或关闭数据读权限申请：
- 关闭数据读权限申请后，当前项目下物理表及元表不支持申请查询权限，同时系统不收回已申请过的查询权限。
- 开启数据读权限申请后，当前项目下的物理表及元表支持申请查询权限。申请查询权限的更多信息，请参见申请权限。

安装资产安全策略

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的安全设置区域，单击查看安全设置。
在项目安全策略选择对应的项目进行安装。
具体操作指导，请参见项目安全策略。

添加沙箱白名单

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的沙箱白名单区域，添加该项目空间下输入Shell、Python任务需要访问的IP地址或域名。
1. 单击新建。
2. 根据页面提示，输入Shell、Python任务需要访问的IP地址或域名。
  重要
  必须填写可以被访问到的IP地址或域名。
3. 单击图标。
单击确定，Shell、Python任务可以访问对应的IP地址或域名。
对于已添加的沙箱白名单，您也可以单击操作列下的图标，删除后项目空间下的Shell、Python任务，将无法访问对应的IP地址或域名。

添加项目成员

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改项目下的成员管理。

在成员管理对话框，单击添加成员。

单击角色说明，可以查看角色对应的权限概述。详细信息，请参见权限管理。

角色	权限范围概述
超级管理员	具有管理Dataphin成员及项目成员的权限、项目文件（含逻辑表）的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。超级管理员角色的成员默认为所有项目的项目管理员，不支持从项目空间中移除。
项目管理员	具有管理项目成员的权限、项目文件（含逻辑表）的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。项目管理员角色的成员的角色支持修改、同时支持从项目空间中移除。
开发者	具有项目文件（含逻辑表）的增加、删除、修改、发布权限、项目节点的操作权限、建表及负责人为自己的表删除、修改的权限。开发者角色的成员的角色支持修改、同时支持从项目空间中移除。
运维	具有将项目文件从Dev项目发布至Prod项目的权限，具有项目节点的操作权限，具有项目建表权限、项目表删除、修改及查询权限。运维角色的成员的角色支持修改、同时支持从项目空间中移除。
分析师	具有项目文件（含逻辑表）的查看权限及项目即席查询文件增加、删除、修改权限、项目节点的查看权限、项目数据查询权限。分析师角色的成员的角色支持修改、同时支持从项目空间中移除。
数据访问者（原访客）	拥有项目文件含规范建模对象）查看权限、项目节点查看权限。数据操作权限中拥有本项目所有物理表的查询权限，跨项目权限以租户安全权限策略为准。可以被更改角色、移除。
普通访客	拥有项目文件（含规范建模对象）查看权限、项目节点查看权限。无本项目的数据权限，需要单独申请，跨项目权限以租户安全权限策略为准。可以被更改角色、移除。

在添加成员对话框，选择成员名和角色，单击确定。
添加成员后，被添加的成员可以进入当前项目空间进行建设或查询数据。
您还可以勾选添加Prod或Dev为普通访客，将当前成员添加至对应项目中并赋予默认角色，如果对应项目中已有该成员，则保持原有角色不做覆盖。添加成员的角色对应关系如下表所示。
Dev项目角色
对应Prod项目角色
项目管理员
项目管理员
开发者
运维
分析师
数据访问者
普通访客
普通访客
系统支持修改项目中的项目管理员、开发者、运维、分析师和访客角色成员的角色，及支持从项目空间中移除项目管理员、开发者、运维、分析师和访客角色的成员。
重要
系统不支持修改超级管理员的角色，同时不支持从项目空间中移除超级管理员角色的成员。

在成员管理列表页面，支持删除、修改、批量移出、替换角色操作，若无需操作，单击确定。成员添加完成。

功能	操作步骤
修改成员角色	在成员管理对话框的角色列，单击下拉列表，选择需要修改成员。
移除项目中的成员	在成员管理对话框的操作列，单击图标。您也可以选中多个成员后，单击成员管理对话框下方的批量移出。说明移除的成员不具有当前项目空间的任何操作权限。
批量替换角色	您可以选中多个成员后，单击成员管理对话框下方的替换角色。说明可使用的角色为当前环境下未停用的角色。

添加计算源

请参见入口介绍，进入项目管理页面。
在项目管理页面，单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的项目设置区域，选择项目空间中没有添加的计算源类型及计算源，单击确定。
添加后，即可基于添加的计算源类型开始任务的研发。更多信息，请参见数据开发概述。
重要
对于已添加的计算源，系统不支持修改和删除。

Dev项目角色	对应Prod项目角色
项目管理员	项目管理员
开发者	运维
分析师	数据访问者
普通访客	普通访客