Hologres数据访问权限控制

前提条件

• 已创建Hologres的实例。详情请参见购买Hologres实例。

• 已添加Hologres的数据源。详情请参见Hologres数据源。

• 已进行Hologres元数据采集，详情参见元数据采集。

• 待申请的Hologres数据表所属的数据库权限策略需要为专家模式。详情请参见权限模型转换。

权限申请

在数据访问控制页面进行权限申请，需要配置申请内容与申请信息两个模块的信息。

1. 登录DataWorks控制台，切换至目标地域后，单击左侧导航栏的数据治理 > 安全中心，在右侧页面中单击进入安全中心。

2. 在安全中心的左侧导航栏单击进入数据平台安全 > 数据访问控制页面。

3. 在数据访问控制页面，选择权限申请页签，申请MaxCompute表、资源或函数。

   表权限申请

   在申请表权限时，在添加目标表后，您可以按需申请表级权限或列级权限

   申请配置项		配置说明
   申请内容	数据源类型	选择MaxCompute类型。
   	申请类型	表
   	工作空间	选择需要申请表所在的工作空间。
   	MaxCompute项目	表所在的工作空间绑定的MaxCompute项目。
   	Schema	表所在的Schema
   待添加表	申请表级权限	支持申请表维度的Select、Update、Download、Describe、Alter、Drop权限。
   	申请列级权限	支持申请列维度的Select、Update、Download权限。

   说明

   • 在MaxCompute项目未启用labelsecurity时，如果您成功申请表级别的Select、Update权限，则表中新增列时，会自动继承Select、Update权限。

   • 在MaxCompute项目启用labelsecurity时，请申请字段权限。因为申请表级别权限后，新增字段不会自动继承表级别权限。

   资源权限申请

   申请配置项		配置说明
   申请内容	数据源类型	选择MaxCompute类型。
   	申请类型	资源
   	工作空间	选择需要申请资源所在的工作空间。
   	项目	资源所在的工作空间绑定的MaxCompute项目。
   	资源名称	需要申请权限的资源。

   函数权限申请

   申请配置项		配置说明
   申请内容	数据源类型	选择MaxCompute类型。
   	申请类型	函数
   	工作空间	选择需要申请函数所在的工作空间。
   	项目	函数所在的工作空间绑定的MaxCompute项目。
   	函数名称	需要申请权限的函数名称。

4. 配置申请信息。

   申请配置项		配置说明
   申请信息	使用者	选择需要为谁申请目标资源权限。 当前登录账号：表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。 调度访问账号：表示为被设置为调度访问身份的RAM用户（子账号）申请目标表权限。 代他人申请：表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时，需要配置用户名参数。
   	申请时长	支持自定义权限的有效时长，过期后权限将自动回收。 说明 使用此功能前需要表所在的MaxCompute项目开启Policy授权，详情请参见：MaxCompute数据权限控制详情，关于MaxCompute Policy的说明请参见：Policy权限控制。
   	申请原因	简要说明申请权限的原因，便于审批人理解。

5. 单击申请权限，提交申请。

   您可以在权限申请记录页签，查看当前申请的审批详情及审批记录。

步骤二：设置授权身份

DataWorks会使用指定的用户（即每个Hologres实例对应的授权身份）访问Hologres的实例。设置授权身份需要主账号或者具有AdministratorAccess策略的RAM账号才能操作。

1. 在数据访问控制页面的申请内容区域，选择数据源类型Hologres。当Hologres的实例未配置授权身份时，会有如下提示，单击确定。

   提示信息为配置授权身份，内容为"管理员未对当前实例配置授权身份，该身份将用于下发授权命令至Hologres实例，请先联系阿里云主账号或拥有AdministratorAccess策略的身份至该界面进行配置"。

2. 单击授权身份后配置授权身份。

3. 在Hologres实例授权身份配置窗口中，为每一个Hologres实例指定访问的身份。窗口中列出当前工作空间关联的所有Hologres实例，每个实例对应一个授权身份下拉选择框，您需要从中为每个实例选择一个阿里云主账号或RAM子账号作为执行授权命令的身份，选择完成后单击确认保存配置。

   说明

   如果授权身份为阿里云RAM子账号，请确保指定的阿里云RAM子账号拥有AliyunHologresReadOnlyAccess的权限并且是Hologres实例的SuperUser角色。

权限申请

1. 进入权限申请页签。

2. 选择要申请的表。

   1. 选择数据源类型为Hologres，依次指定Hologres实例和数据库。

   2. 在左侧待添加表区域，选择要申请权限的数据表。

   3. 在表格中，选择要申请的权限。支持表级权限：Select、Insert、Update、Delete、Truncate和ALL。

      • 如果勾选表格第一行的全选按钮，表示为每一个表都申请相应的权限。

      • 如果要取消某一个表的权限，去勾选该表对应权限的复选框。

3. 配置申请信息。

   参数	描述
   使用者	选择需要为谁申请权限。 当前登录账号：表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。 代他人申请：表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时，需要配置其他身份参数。
   申请原因	输入申请目标表权限的原因。

   Hologres的表级权限为永久权限，不支持设置到期时间。

4. 单击申请权限，提交申请。

   您可以在我的申请单页面，查看当前申请的审批详情及审批记录。

权限审批

1. 查看待审批的申请。

   在左侧导航栏，选择申请与审批 > 我的审批任务，单击数据访问控制页签。选择数据源类型为Hologres，并根据筛选条件，查看当前登录的阿里云账号名下需要审批的申请信息。

   说明

   同一个申请单提交的多张表权限申请，会按照表Owner的不同自动拆分成多个申请单。

2. 查看审批详情。

   单击目标申请操作列的审批，您可以在审批详情对话框查看目标申请的申请详情、审批记录等详细信息。

3. 审批申请。

   根据申请的详细内容及当前需求判断是否同意审批该申请，填写审批意见，选择同意或拒绝当前申请。

   您也可以直接在我的审批任务页面，勾选全部申请，单击批量同意或批量拒绝，填写审批意见，批量处理目标申请。

查看权限申请及审批记录

• 查看权限申请记录：在左侧导航栏，选择申请与审批 > 我的申请单，单击数据访问控制页签。您可以根据审批状态、申请时间、Hologres实例等条件进行筛选，查看当前登录的阿里云账号名下涉及的申请记录。

  您还可以单击目标申请操作列的查看详情，查看申请的详细信息。同时，对于审批状态为审批中的申请，您可以进行撤回操作。

• 查看权限审批记录：在左侧导航栏，选择申请与审批 > 我的审批任务，单击数据访问控制页签，选择任务状态为全部。您可以根据申请账号、审批结果、Hologres实例等条件进行筛选，查看当前登录的阿里云账号的审批记录。