文档

数据查询与分析管控

更新时间:

DataWorks支持授权某角色或成员,在产品模块拥有指定数据源的查询权限;同时,对查询结果可执行的展示、复制、下载、分享等操作进行权限管控,确保数据操作的安全性。本文为您介绍数据查询与分析管控的相关内容。

背景信息

数据查询与分析管控支持对数据源查询和查询结果可执行的展示、复制、下载、分享等操作进行权限管控,具体如下:

  • 数据源查询权限管控

    用于对数据源的查询权限进行管控。DataWorks的数据源分为绑定引擎时默认创建的引擎数据源,及在数据源配置界面创建的自建数据源。不同数据源的管控能力说明如下。

    数据源类型

    默认权限

    对数据源查询的权限管控能力

    参考文档

    引擎数据源

    DataWorks绑定引擎时,设置的调度访问身份对应的账号或角色,拥有引擎数据源的访问权限。

    您可通过管控数据源的查询权限功能,对其他用户或角色进行授权,授权时应注意:

    • 成员或角色被授权数据源查询权限后,将获得与数据源访问身份同样的权限。为保障数据的安全性(特别是生产数据),建议您合理规划后谨慎分配权限。

    • 标准模式工作空间的开发环境和生产环境需分别绑定引擎,同时会产生不同的数据源,因此您需进入对应环境获取数据源访问身份。

    自建数据源

    默认创建自建数据源时,配置的访问该数据源的账号,拥有该自建数据源的访问权限。

    该功能仅对数据源查询权限进行管控,若要对数据源的读写操作进行权限管控,请参考数据集成任务审批流程

  • 数据源查询结果的操作权限管控

    DataWorks支持对查询结果进行展示、复制、下载、分享等操作,并设置数据分析模块中针对该类操作的管控策略,保障数据的操作安全。具体管控能力说明如下。

    默认权限

    对查询结果相关操作的权限管控能力

    所有用户均拥有展示、复制、下载、分享查询结果的权限。

    您可通过管控查询结果相关操作功能,设置权限管控策略:

    • 限制是否允许复制、下载、分享结果数据。

    • 限制展示、复制、下载数据的条数。

使用限制

  • 数据源查询权限管控

    数据源查询权限管控的使用限制如下。

    限制类别

    限制描述

    生效模块

    目前仅支持对数据分析模块进行权限管控。

    • 标准模式工作空间,仅支持授权使用开发环境的数据源;简单模式的工作空间,所有数据源均需经过授权后才可使用。

    • 目前不支持授权生产环境MaxCompute类型引擎数据源的权限(即绑定MaxCompute引擎时,自动创建的生产环境数据源)。但在数据分析模块中,可通过指定表所在项目的方式去访问生产表,且默认使用当前登录账号查询数据。

    支持的数据源类型

    目前仅对数据分析支持的数据源类型进行权限管控。

    说明

    数据分析支持的数据源类型(包括引擎数据源和自建数据源),详情请参见SQL查询支持的数据源

    角色限制

  • 数据源查询结果的操作权限管控

    数据源查询结果相关操作权限管控的使用限制如下。

    限制类别

    限制描述

    生效模块

    目前仅支持对数据分析模块进行权限管控。

    操作限制

    目前仅支持对展示、复制、下载、分享操作进行权限管控,其中:

    • 展示条数:最大展示10000条,默认10000条。

    • 复制条数:最大复制10000条,默认100条。

    • 下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限

    地域及角色限制

    查询结果管控策略在该租户下当前地域全局生效,并且仅租户管理员租户安全管理员角色权限可编辑管控策略。

    说明

进入数据查询与分析管理

  1. 进入安全中心。|

    登录DataWorks控制台,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

  2. 进入数据查询与分析管控

    1. 单击顶部菜单栏的安全策略

    2. 安全策略页面,单击左侧导航栏的数据查询与分析管控

      在数据查询与分析管控页面,您可执行如下操作:

管控数据源的查询权限

说明

如您未创建数据源,请先进入数据源管理页面创建。

您可根据下图步骤,授权某成员或角色,拥有指定工作空间数据分析模块中目标数据源的查询权限。配置要点如下。管控数据源

参数

描述

工作空间

仅支持选择当前账号为空间管理员的工作空间。选择后,将为您展示该工作空间中所有数据源,您可对数据源执行相应授权操作。

说明

授权用户为工作空间管理员,详情请参见空间级模块权限管控

授权对象

需查询的目标数据源,包括绑定引擎后默认生成的引擎数据源及用户自建的数据源。支持的数据源,详情请参见数据源类型

被授权空间角色

选择可查询目标数据源的空间角色。

被授权空间成员

选择可查询目标数据源的空间成员。

说明

仅支持选择所选工作空间中的成员。添加用户为工作空间成员,详情请参见空间级模块权限管控

查询模块

本次授权生效的功能模块。当前仅支持授权某成员或角色,拥有指定数据源在数据分析模块的查询权限。

管控查询结果相关操作

您可对具有数据查询功能的数据分析模块配置查询结果管控策略,确保数据操作的安全可靠。在数据查询与分析管控 > 查询结果管控页签,单击编辑,即可自定义查询结果相关操作(展示、复制、下载、分享)的管控策略,具体如下:

  • 限制是否允许复制、下载、分享结果数据。

  • 限制展示、复制、下载数据的条数。

说明
  • 同一租户不同地域,需单独配置查询结果管控策略。

  • 展示条数:最大展示10000条,默认10000条。

  • 复制条数:最大复制10000条,默认100条。

  • 下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限

管控策略编辑完成后,可在操作列单击查看,查看策略的基本信息。

附录:查看数据源的访问身份

  • 查看引擎数据源访问身份

    您可在工作空间配置 > 计算引擎信息查看目标数据源的访问身份。进入引擎绑定页面,详情请参见进入引擎绑定页面

    数据源类型

    说明

    MaxCompute数据源

    查看MaxCompute引擎类型数据源访问身份,在数据分析查询该数据源数据时,默认通过当前任务执行者账号操作。

    示例查看MaxCompute开发数据源的访问身份。查询MC开发环境访问身份

    非MaxCompute数据源

    当选择为非MaxCompute类型的引擎数据源授权(例如,EMR引擎数据源)时,需根据所选数据源类型,确认生产或开发环境的访问身份。

    示例查看EMR开发及生产数据源的访问身份。查询非MC数据源的访问身份

  • 查看自建数据源访问身份

    您可在工作空间管理 > 数据源管理查看目标数据源的访问身份(即配置的访问数据源的用户信息)。进入数据源管理,详情请参见创建与管理数据源查看自建数据源访问身份

附录:DataWorks各版本下载数据条数上限

DataWorks各版本可设置的下载数据条数上限如下表。

DataWorks版本

下载数据条数上限(条)

基础版

0

标准版

200,000

专业版

2000,000

企业版

5000,000

说明

版本降级时,可下载的数据条数上限值变化如下:

  • 如降级前的下载数据条数上限值,超过了降级后的下载数据条数最大值,则可下载的数据条数上限值将变更为降级后的下载数据条数最大值。

  • 如降级前的下载数据条数上限值,未超过降级后的下载数据条数最大值,则可下载的数据条数上限值不变。

DataWorks版本的降级,详情请参见版本降级说明

  • 本页导读 (1)