MaxCompute数据访问权限控制

DataWorks的数据访问控制,为您提供了访问MaxCompute引擎数据时的权限管控能力,包括权限申请、权限审批、权限审计,还支持您查看权限申请记录、权限审批记录。本文为您介绍MaxCompute数据访问权限管控。

背景信息

在DataWorks标准模式中,空间成员拥有与开发环境绑定的MaxCompute项目内所有数据的读取权限,详情请参见MaxCompute引擎在不同模式工作空间访问资源与权限说明

若您需要使用DataWorks空间下与生产环境绑定的MaxCompute项目内的资源与函数,可参考本文档,通过DataWorks安全中心申请生产环境绑定的MaxCompute项目的表数据、资源、函数的访问控制权限。

说明
  • 在标准工作空间模式中,DataWorks处理生产环境的项目时,默认不会在MaxCompute的项目角色中添加成员。

  • 权限申请者在申请开发环境的MaxCompute的表数据、资源、函数后,需经过审批者通过后方可使用。

前提条件

  • 权限申请支持MaxCompute数据源的表权限、资源权限以及函数权限的申请。

  • 开发环境和生产环境的MaxCompute项目,需要先在MaxCompute控制台开启列级访问控制,才可以在安全中心对表中的字段申请权限,详情请参见:Label权限控制

数据访问权限管控流程

应用场景

场景

同工作空间内,开发环境用户访问生产环境表、资源或函数。

场景1

当DataWorks的子账号未被添加为生产环境计算引擎访问身份时,默认该账号无法在数据开发界面直接操作本工作空间的生产表,如果子账号需要拥有生产表权限,需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

开发或生产环境用户访问跨工作空间的开发或生产环境表、资源或函数。

场景2

默认不在工作空间下的子账号无法在数据开发界面跨项目访问开发表或生产表。如果需要跨项目操作开发表或生产表,子账号需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

权限申请流程

数据访问控制功能支持您进行权限申请权限审批权限审计的操作,还支持您查看权限申请记录权限审批记录。在RAM用户(子账号)开发过程中没有相关表权限的场景下,可以通过权限申请界面申请对应权限。待审批人员(空间管理员或者表Owner)在权限审批页面通过申请后,便可获得权限。

说明

DataWorks的安全中心为您提供默认的权限申请审批流程,同时也支持您在审批中心自定义审批流程。当您申请MaxCompute引擎表字段权限时,DataWorks会根据申请的表字段来识别需要进行哪种类型的审批流程。

image
说明

资源与函数权限申请,不支持自定义审批与权限审计管理。

  • 权限申请人:可以通过安全中心页面申请MaxCompute表的权限。对于已提交的申请,支持通过权限申请记录页面查看当前登录的阿里云账号提交的申请记录。

  • 权限审批人:可以通过步骤三:权限审批页面查看我作为空间管理员或者表Owner时,需要审批的表权限。对于已审批的申请,支持通过权限审批记录页面查看当前登录的阿里云账号的表、资源、函数的审批结果。

  • 权限审计:阿里云主账号或空间管理员进入权限审计页面对工作空间下的成员拥有的表权限进行管控,支持对工作空间下某成员所拥有的权限进行回收。

步骤一:进入数据访问控制

登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

步骤二:权限申请

在数据访问控制页面进行权限申请,需要配置申请内容申请信息两个模块的信息。详情请参见以下表格:

说明

资源与函数权限申请,不支持自定义审批与权限审计管理。

表权限申请

  1. 进入权限申请页面。

  2. 选择要申请的表。

    1. 申请内容区域,选择数据源类型为MaxCompute,并选择目标工作空间项目

    2. 待添加表区域,勾选需要申请的目标表。

      勾选目标表后,右侧会显示目标表的相关信息。单击表名称展开图标,显示当前表的所有字段,您可以选择申请目标表的部分或全部字段的权限。默认申请目标表全部字段的权限。image

      说明
      • 开发环境和生产环境的MaxCompute项目,需要先在MaxCompute控制台开启列级访问控制,才可以在安全中心对表中的字段申请权限,详情请参见:Label权限控制

      • 目前支持申请列表级别的Select、Update权限,和表级别的Describe、Drop、Alter、Select、Update权限。同时支持您针对单个字段单独申请字段权限。如果您成功申请表级别的Select、Update权限,则表中新增列时,会自动继承Select、Update权限。

  3. 配置申请信息

    参数

    描述

    使用者

    选择需要为谁申请目标表权限。

    • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。

    • 调度访问账号:表示为被设置为调度访问身份的RAM用户(子账号)申请目标表权限。

    • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。

    工作空间

    使用者配置为调度访问账号时,需要选择在哪个工作空间使用目标表。

    申请时长

    支持您按需自定义申请表权限的时长,过期权限将自动收回。

    说明

    使用此功能前需要表所在的MaxCompute项目开启Policy授权,详情请参见:MaxCompute数据权限控制详情,关于MaxCompute Policy的说明请参见:Policy权限控制

    申请原因

    输入申请目标表权限的原因。

  4. 单击申请权限,提交申请。

    您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

资源权限申请

申请配置项

配置说明

图示

申请内容

申请类型

资源

image

数据源类型

默认为MaxCompute,无法修改。

工作空间

选择需要申请资源所在的工作空间。

项目

资源所在的工作空间绑定的MaxCompute项目。

资源名称

需要申请权限的资源。

申请信息

使用者

选择需要为谁申请目标资源权限。

  • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。

  • 调度访问账号:表示为被设置为调度访问身份的RAM用户(子账号)申请目标表权限。

  • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。

image

申请时长

支持您按需自定义申请资源权限的时长,过期权限将自动回收。

申请原因

输入申请目标资源权限的原因。

配置完成后,单击申请权限,提交申请。

您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

函数权限申请

申请配置项

配置说明

图示

申请内容

申请类型

函数

image

数据源类型

默认为MaxCompute,无法修改。

工作空间

选择需要申请函数所在的工作空间。

项目

函数所在的工作空间绑定的MaxCompute项目。

函数名称

需要申请权限的函数名称。

申请信息

使用者

选择需要为谁申请目标函数权限。

  • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。

  • 调度访问账号:表示为被设置为调度访问身份的RAM用户(子账号)申请目标表权限。

  • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。

image

申请时长

支持您按需自定义申请表权限的时长,过期权限将自动回收。

申请原因

输入申请目标函数权限的原因。

配置完成后,单击申请权限,提交申请。

您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

步骤三:权限审批

  1. 查看待审批的申请。

    进入权限审批页面,您可以根据申请账号申请时间工作空间项目名称对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。审批申请

    说明

    同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。

  2. 查看审批详情。

    单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情审批记录等详细信息。

  3. 审批申请。

    根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意拒绝当前申请。

    您也可以直接在权限审批页面,勾选全部申请,单击批量同意批量拒绝,填写审批意见,批量处理目标申请。

查看权限申请及审批记录

  • 查看权限申请记录:您可以根据审批状态申请时间工作空间等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态审批中的申请,您可以继续后续的审批操作。

  • 查看权限审批记录:您可以根据申请账号审批结果工作空间等条件进行筛选,查看当前登录的阿里云账号的审批记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。