DataWorks的数据访问控制,为您提供了访问MaxCompute引擎数据时的权限管控能力,包括权限申请、权限审批、权限审计,还支持您查看权限申请记录、权限审批记录。本文为您介绍MaxCompute数据访问权限管控。
背景信息
若您需要在DataWorks标准工作空间中访问生产环境的MaxCompute数据源的表数据、资源和函数,则需申请相应的权限。这有助于实现对生产环境资产的安全管理与管控。
本文适用于:需要访问生产环境MaxCompute数据源的表数据、资源、函数的场景。
-
在标准模式工作空间中,DataWorks处理开发环境的项目时,会默认在MaxCompute的项目角色中添加成员。这样,成员将具备所有数据的读取权限。详情请参见MaxCompute引擎在不同模式工作空间访问资源与权限说明。
-
在标准工作空间模式中,DataWorks处理生产环境的项目时,默认不会在MaxCompute的项目角色中添加成员。
-
权限申请者在申请MaxCompute的表数据、资源、函数后,需经过审批者同意后,方可使用。
前提条件
-
已了解DataWorks工作空间简单模式和标准模式的区别。
数据访问权限管控流程
应用场景
|
场景 |
|
|
同工作空间内,开发环境用户访问生产环境表、资源或函数。 |
当DataWorks的子账号未被添加为生产环境计算引擎访问身份时,默认该账号无法在数据开发界面直接操作本工作空间的生产表,如果子账号需要拥有生产表权限,需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。 |
|
开发或生产环境用户访问跨工作空间的开发或生产环境表、资源或函数。 |
默认不在工作空间下的子账号无法在数据开发界面跨项目访问开发表或生产表。如果需要跨项目操作开发表或生产表,子账号需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。 |
权限申请流程
数据访问控制功能支持您进行权限申请、权限审批、权限审计的操作,还支持您查看权限申请记录、权限审批记录。在RAM用户(子账号)在开发过程中若无相关表权限,可通过权限申请界面申请对应权限。待审批人员(空间管理员或者表Owner)在权限审批页面通过申请后,便可获得权限。
DataWorks的安全中心为您提供默认的权限申请审批流程,同时也支持您在审批中心自定义审批流程。当您申请MaxCompute引擎表字段权限时,DataWorks会根据申请的表字段来识别需要进行哪种类型的审批流程。
资源与函数权限申请,不支持自定义审批与权限审计管理。
权限申请
在数据访问控制页面进行权限申请,需要配置申请内容与申请信息两个模块的信息。
-
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
-
在安全中心的左侧导航栏单击进入页面。
-
在数据访问控制页面,选择权限申请页签,申请MaxCompute表、资源或函数。
表权限申请
在申请表权限时,在添加目标表后,您可以按需申请表级权限或列级权限
申请配置项
配置说明
申请内容
数据源类型
选择MaxCompute类型。
申请类型
表工作空间
选择需要申请
表所在的工作空间。MaxCompute项目
表所在的工作空间绑定的MaxCompute项目。Schema
表所在的Schema
待添加表
申请表级权限
支持申请表维度的
Select、Update、Download、Describe、Alter、Drop权限。申请列级权限
支持申请列维度的
Select、Update、Download权限。说明-
在MaxCompute项目未启用
labelsecurity时,如果您成功申请表级别的Select、Update权限,则表中新增列时,会自动继承Select、Update权限。 -
在MaxCompute项目启用
labelsecurity时,请申请字段权限。因为申请表级别权限后,新增字段不会自动继承表级别权限。
资源权限申请
申请配置项
配置说明
申请内容
数据源类型
选择MaxCompute类型。
申请类型
资源工作空间
选择需要申请资源所在的工作空间。
项目
资源所在的工作空间绑定的MaxCompute项目。
资源名称
需要申请权限的资源。
函数权限申请
申请配置项
配置说明
申请内容
数据源类型
选择MaxCompute类型。
申请类型
函数工作空间
选择需要申请函数所在的工作空间。
项目
函数所在的工作空间绑定的MaxCompute项目。
函数名称
需要申请权限的函数名称。
-
-
配置申请信息。
申请配置项
配置说明
申请信息
使用者
选择需要为谁申请目标资源权限。
-
当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。
-
调度访问账号:表示为被设置为调度访问身份的RAM用户(子账号)申请目标表权限。
-
代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。
申请时长
支持自定义权限的有效时长,过期后权限将自动回收。
说明使用此功能前需要表所在的MaxCompute项目开启Policy授权,详情请参见:MaxCompute数据权限控制详情,关于MaxCompute Policy的说明请参见:Policy权限控制。
申请原因
简要说明申请权限的原因,便于审批人理解。
-
-
单击申请权限,提交申请。
您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。
权限审批
权限申请人提交权限审批后,权限审批人即可在权限审批页签进行审批。
-
进入权限审批页面,您可以根据申请账号、申请时间、工作空间、项目名称、对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。
说明同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。
-
单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情、审批记录等详细信息,在审批详情弹窗内可进行以下操作:
-
根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意或拒绝当前申请
-
修改申请单的申请内容和到期时间。
说明-
未处理的环节:显示具有审批权限的全部审批人。
-
已处理的环节:仅显示处理该申请单的审批人。
除过在审批详情内单个审批,您也可以直接在权限审批页面,勾选全部申请,单击批量同意或批量拒绝,填写审批意见,批量处理目标申请。
-
查看权限申请记录
在权限申请记录记录页面,您可以根据审批状态、申请时间、工作空间等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。
您还可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态为审批中的申请,您可以继续后续的审批操作。
查看权限审批记录
在权限审批记录页面,您可以根据申请账号、审批结果、工作空间等条件进行筛选,查看当前登录的阿里云账号的审批记录。
您还可以单击目标申请操作列的查看详情,查看申请的详细信息。
权限审计
完成权限审批后,您可在权限审计页签内通过筛选项查找并审计目标资源,查看目标资源的授权信息,以及在操作列回收权限或查看权限。