管理项目空间的权限和计算源
为了更好地管控项目空间中的数据安全及数据处理能力,Dataphin支持通过项目空间全局管理数据结果下载权限、数据读写权限、访问权限(沙箱白名单)、开启资产安全策略、成员的操作权限及添加计算源。本文为您介绍如何管理项目空间的权限和添加计算源。
前提条件
完成项目空间的创建,请参见创建项目。
场景说明
功能 | 使用场景说明 | 使用限制 |
Dataphin支持通过项目粒度的方式,管控项目空间中数据查询(即席查询或计算任务)结果的下载权限,以规避数据泄露的问题:
| 系统仅支持超级管理员和项目管理员角色的成员操作 | |
Dataphin支持通过项目粒度的方式,管控项目空间中的元表和物理表的读取和写入数据的权限申请。以规避审批者误操作,导致的数据泄露与安全问题:
| ||
安装资产安全策略后,即可定义当前项目下资产的业务分类和安全等级,并构建敏感数据识别规则,同时支持设置敏感数据脱敏规则,以保障数据资产的安全性。更多资产安全策略信息,请参见资产安全概述。 | ||
配置项目空间中的Shell、Python任务可以访问的IP地址或域名。 | ||
为项目空间添加成员。被添加的成员即可具有角色对应的权限。 | ||
拓展当前项目空间数据处理的能力。不同类型的计算源支持不同研发的任务。更多信息,请参见数据开发概述。 重要 对于已添加的计算源,系统不支持修改和删除。 |
设置数据结果下载权限
设置数据读写申请权限
请参见入口介绍,进入项目管理页面。
在项目管理页面,单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的安全设置区域,选择是否需要开启数据读写权限申请权限。
单击确定,即可开启或关闭数据读写权限的申请。
开启或关闭数据写权限申请:
关闭数据写权限申请后,当前项目下的物理表及元表不支持申请写入权限,同时系统不收回已申请过的写入权限。
开启数据写权限申请后,当前项目下的物理表及元表支持申请写入权限。申请写入权限的更多信息,请参见申请权限。
开启或关闭数据读权限申请:
关闭数据读权限申请后,当前项目下物理表及元表不支持申请查询权限,同时系统不收回已申请过的查询权限。
开启数据读权限申请后,当前项目下的物理表及元表支持申请查询权限。申请查询权限的更多信息,请参见申请权限。
安装资产安全策略
添加沙箱白名单
请参见入口介绍,进入项目管理页面。
在项目管理页面,单击需要修改Dev或Prod项目下的信息设置。
在信息设置对话框的沙箱白名单区域,添加该项目空间下输入Shell、Python任务需要访问的IP地址或域名。
单击新建。
根据页面提示,输入Shell、Python任务需要访问的IP地址或域名。
重要必须填写可以被访问到的IP地址或域名。
单击
图标。
单击确定,Shell、Python任务可以访问对应的IP地址或域名。
对于已添加的沙箱白名单,您也可以单击操作列下的
图标,删除后项目空间下的Shell、Python任务,将无法访问对应的IP地址或域名。
添加项目成员
请参见入口介绍,进入项目管理页面。
在项目管理页面,单击需要修改项目下的成员管理。
在成员管理对话框,单击添加成员。
单击角色说明,可以查看角色对应的权限概述。详细信息,请参见权限管理。
角色
权限范围概述
超级管理员
具有管理Dataphin成员及项目成员的权限、项目文件(含逻辑表)的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。超级管理员角色的成员默认为所有项目的项目管理员,不支持从项目空间中移除。
项目管理员
具有管理项目成员的权限、项目文件(含逻辑表)的增加、删除、修改及发布权限、项目节点的操作权限、项目数据的增加、删除、修改权限。项目管理员角色的成员的角色支持修改、同时支持从项目空间中移除。
开发者
具有项目文件(含逻辑表)的增加、删除、修改、发布权限、项目节点的操作权限、建表及负责人为自己的表删除、修改的权限。开发者角色的成员的角色支持修改、同时支持从项目空间中移除。
运维
具有将项目文件从Dev项目发布至Prod项目的权限,具有项目节点的操作权限,具有项目建表权限、项目表删除、修改及查询权限。运维角色的成员的角色支持修改、同时支持从项目空间中移除。
分析师
具有项目文件(含逻辑表)的查看权限及项目即席查询文件增加、删除、修改权限、项目节点的查看权限、项目数据查询权限。分析师角色的成员的角色支持修改、同时支持从项目空间中移除。
数据访问者(原访客)
拥有项目文件含规范建模对象)查看权限、项目节点查看权限。数据操作权限中拥有本项目所有物理表的查询权限,跨项目权限以租户安全权限策略为准。可以被更改角色、移除。
普通访客
拥有项目文件(含规范建模对象)查看权限、项目节点查看权限。无本项目的数据权限,需要单独申请,跨项目权限以租户安全权限策略为准。可以被更改角色、移除。
在添加成员对话框,选择成员名和角色,单击确定。
添加成员后,被添加的成员可以进入当前项目空间进行建设或查询数据。
您还可以勾选添加Prod或Dev为普通访客,将当前成员添加至对应项目中并赋予默认角色,如果对应项目中已有该成员,则保持原有角色不做覆盖。添加成员的角色对应关系如下表所示。
Dev项目角色
对应Prod项目角色
项目管理员
项目管理员
开发者
运维
分析师
数据访问者
普通访客
普通访客
系统支持修改项目中的项目管理员、开发者、运维、分析师和访客角色成员的角色,及支持从项目空间中移除项目管理员、开发者、运维、分析师和访客角色的成员。
重要系统不支持修改超级管理员的角色,同时不支持从项目空间中移除超级管理员角色的成员。
在成员管理列表页面,支持删除、修改、批量移出、替换角色操作,若无需操作,单击确定。成员添加完成。
功能
操作步骤
修改成员角色
在成员管理对话框的角色列,单击下拉列表,选择需要修改成员。
移除项目中的成员
在成员管理对话框的操作列,单击
图标。
您也可以选中多个成员后,单击成员管理对话框下方的批量移出。
说明移除的成员不具有当前项目空间的任何操作权限。
批量替换角色
您可以选中多个成员后,单击成员管理对话框下方的替换角色。
说明可使用的角色为当前环境下未停用的角色。