DataWorks为您提供了访问StarRocks引擎数据时的权限管控能力,包括权限申请、权限审批、权限审计,还支持您查看权限申请记录、权限审批记录。本文为您介绍StarRocks数据访问权限管控。
前提条件
已添加StarRocks为DataWorks数据源。详情请参见:StarRocks数据源。
已新增Ranger并关联了Ranger Service。详情请参见:新增Ranger配置。
已经为申请者配置了数据源类型为StarRocks的身份凭证。详情请参见:身份凭证。
步骤一:进入数据访问控制
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
在安全中心页面,在左侧导航栏单击数据访问控制。
申请权限
在数据访问控制页面进行权限申请,需要配置申请内容与申请信息两个模块的信息。详情请参见以下配置:
StarRocks的权限申请,不支持自定义审批、权限审计管理。
StarRocks的权限申请,只能由身份凭证中账号类型为管理员的RAM用户/RAM角色审核。
在数据访问控制页面,单击进入权限申请页签。
申请资源权限。
在申请内容区域,选择数据源类型为StarRocks,即可配置申请内容。
申请类型:可按需求在库与表之间选择。
StarRocks实例:选择已在DataWorks中绑定的StarRocks数据源实例。
Catalog:已在Ranger中配置好了StarRocks类型Service中的Catalog,配置详情可参见:新增Service。
选择需要申请的资源与资源权限。
选择数据库
根据以上配置,申请内容区域会加载出可以申请权限的元数据库名称,您可根据需要选择需要申请权限的元数据库以及库权限。
选择数据表
根据以上配置,需再圈选您需要的数据表所在的数据库后,会自动加载出该数据库中所有可申请权限的数据表,选择需要申请权限的表以及表权限。
配置申请信息。
参数
描述
使用者
选择需要为谁申请目标资源权限。
当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请权限。
代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请权限。选择该选项时,需要配置用户名参数。
申请时长
StarRocks仅支持:永久。
申请原因
输入申请权限的原因。
配置完成后,单击申请权限,即可对已选数据库进行权限申请。
审批权限
查看待审批的申请。
进入权限审批页签,选择数据源类型为StarRocks,并根据申请账号、申请时间、工作空间、项目名称、对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。
说明只有身份凭证中账号类型为管理员的RAM用户或RAM角色拥有审核权限。
查看审批详情。
单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情、审批记录等详细信息。
审批申请。
根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意或拒绝当前申请。
您也可以直接在权限审批页面,勾选全部申请,单击批量同意或批量拒绝,填写审批意见,批量处理目标申请。
查看权限申请及审批记录
查看权限申请记录:您可以根据数据源类型、申请类型、申请时间、审批状态等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。
查看权限审批记录:您可以根据数据源类型、申请类型、申请账号、审批结果、申请时间等条件进行筛选,查看当前登录的阿里云账号的审批记录。