Kelola izin untuk data MaxCompute dengan kontrol akses data - DataWorks

DataWorks menyediakan fitur kontrol akses data untuk mengelola izin pada tabel, resource, dan fungsi MaxCompute. Topik ini menjelaskan cara mengajukan, menyetujui, dan mengaudit izin akses data MaxCompute di ruang kerja mode standar.

Latar Belakang

Di ruang kerja mode standar, lingkungan pengembangan dan produksi memiliki perilaku izin default yang berbeda:

Lingkungan pengembangan: DataWorks secara otomatis menambahkan anggota ruang kerja ke role proyek MaxCompute, sehingga memberikan izin baca pada semua data.
Lingkungan produksi: DataWorks tidak menambahkan anggota ruang kerja ke role proyek MaxCompute secara default. Anggota harus secara eksplisit mengajukan permintaan akses.

Untuk mengakses tabel, resource, atau fungsi di lingkungan produksi — baik dari ruang kerja yang sama maupun ruang kerja lain — ajukan permintaan izin melalui Security Center. Izin hanya berlaku setelah disetujui oleh pemberi persetujuan.

Untuk informasi lebih lanjut tentang bagaimana mode ruang kerja memengaruhi akses engine, lihat Akses resource engine MaxCompute dan izin di berbagai mode ruang kerja.

Cara Kerja

Fitur Data Access Control mendukung tiga peran:

Peran	Tanggung Jawab
Requester	Mengajukan permintaan izin untuk tabel, resource, atau fungsi melalui tab Permission Application
Approver	Meninjau serta menyetujui atau menolak permintaan pada tab Permission Approval; juga dapat memodifikasi konten permintaan dan waktu kedaluwarsa
Administrator	Mengaudit izin aktif dan mencabut akses pada tab Permission Audit; harus merupakan administrator ruang kerja atau pemilik Akun Alibaba Cloud

Diagram berikut menunjukkan alur lengkap permintaan dan persetujuan izin:

Kasus Penggunaan

Skenario	Deskripsi
Mengakses data produksi dari ruang kerja yang sama	RAM user di lingkungan pengembangan yang belum diberikan akses ke engine komputasi produksi tidak dapat mengoperasikan tabel produksi di antarmuka Data Development secara default. Ajukan permintaan di Security Center. Setelah disetujui, pengguna tersebut dapat melakukan operasi terkait pada tabel produksi.
Mengakses data lintas ruang kerja	RAM user yang bukan anggota suatu ruang kerja tidak dapat mengakses tabel pengembangan atau produksi lintas proyek dari antarmuka Data Development secara default. Ajukan permintaan di Security Center. Setelah disetujui, pengguna tersebut dapat melakukan operasi lintas proyek yang diperlukan.

Security Center menyediakan alur persetujuan default untuk semua permintaan izin. Untuk menyesuaikan alur tersebut, konfigurasikan di Approval Center. Untuk permintaan tingkat bidang, DataWorks menentukan alur persetujuan yang diperlukan berdasarkan bidang yang diminta. Alur persetujuan kustom dan manajemen audit izin tidak didukung untuk permintaan izin resource dan fungsi.

Prasyarat

Sebelum memulai, pastikan Anda telah:

Mengikat resource komputasi MaxCompute ke ruang kerja
Meninjau detail kontrol izin data MaxCompute
Memahami perbedaan antara mode dasar dan mode standar

Mengajukan Izin

Yang melakukan: Requester

Ajukan permintaan izin dari tab Permission Application di Data Access Control.

Masuk ke Konsol DataWorks. Alihkan ke Wilayah target. Di panel navigasi kiri, pilih Data Governance > Security Center, lalu klik Go to Security Center.
Di panel navigasi kiri, pilih Data Platform Security > Data Access Control.
Klik tab Permission Application.

Pada bagian Application Content, konfigurasikan target permintaan.

Mengajukan izin pada tabel

Setelah memilih tabel, pilih Table-level Permissions atau Column-level Permissions.

Parameter	Deskripsi
Data Source Type	Pilih MaxCompute.
Application Type	`Table`
Workspace	Pilih ruang kerja tempat tabel berada.
MaxCompute Project	Proyek MaxCompute yang dikaitkan dengan ruang kerja yang dipilih.
Schema	Schema tempat tabel berada.
Tables to Be Added — tingkat tabel	Izin yang tersedia: `Select`, `Update`, `Download`, `Describe`, `Alter`, `Drop`
Tables to Be Added — tingkat kolom	Izin yang tersedia: `Select`, `Update`, `Download`

Catatan

Jika labelsecurity tidak diaktifkan untuk proyek MaxCompute dan Anda telah diberikan izin tingkat tabel Select dan Update, kolom baru yang ditambahkan ke tabel secara otomatis mewarisi izin tersebut. Jika labelsecurity diaktifkan, bidang baru tidak mewarisi izin tingkat tabel — ajukan izin bidang secara eksplisit.

Mengajukan izin pada resource

Parameter	Deskripsi
Data Source Type	Pilih MaxCompute.
Application Type	`Resource`
Workspace	Pilih ruang kerja tempat resource berada.
MaxCompute Project	Proyek MaxCompute yang dikaitkan dengan ruang kerja yang dipilih.
Resource Name	Resource yang ingin Anda ajukan izinnya.

Mengajukan izin pada fungsi

Parameter	Deskripsi
Data Source Type	Pilih MaxCompute.
Application Type	`Function`
Workspace	Pilih ruang kerja tempat fungsi berada.
MaxCompute Project	Proyek MaxCompute yang dikaitkan dengan ruang kerja yang dipilih.
Function Name	Fungsi yang ingin Anda ajukan izinnya.

Pada bagian Application Information, konfigurasikan pemohon dan detail periode validitas.

Parameter	Deskripsi
User	Akun yang akan diberikan izin: Current login account, Account Used for Scheduling (RAM user yang ditetapkan sebagai identitas akses penjadwalan), atau Apply on Behalf of Others (memerlukan Username).
Application duration	Periode validitas untuk izin tersebut. Setelah periode berakhir, izin akan dicabut secara otomatis. Untuk menggunakan opsi ini, aktifkan otorisasi kebijakan untuk proyek MaxCompute. Lihat Detail kontrol izin data MaxCompute dan Kontrol akses berbasis kebijakan.
Reason for application	Penjelasan singkat mengapa akses diperlukan, untuk membantu pemberi persetujuan mengevaluasi permintaan.

Klik Apply for permission untuk mengajukan permintaan.

Setelah mengajukan, buka tab Permission Application Records untuk melacak status permintaan.

Menyetujui Izin

Yang melakukan: Approver (administrator ruang kerja atau pemilik tabel)

Setelah pemohon mengajukan permintaan izin, proses permintaan tersebut pada tab Permission Approval.

Pada halaman Permission Application Processing, filter permintaan berdasarkan Application account number, Application time, Workspace, Project name, atau Object name.

Jika satu permintaan mencakup beberapa tabel dengan pemilik berbeda, sistem akan membaginya menjadi sub-permintaan terpisah berdasarkan kepemilikan tabel.
Klik Approval di kolom Operation untuk suatu permintaan. Untuk memproses beberapa permintaan sekaligus, pilih permintaan tersebut di halaman Permission Application Processing, lalu klik Batch Approve atau Batch Deny dan masukkan Comments Anda.
- Tinjau tab Request Details dan Approval Record.
- Masukkan Comments, lalu klik Approve atau Deny.
- (Opsional) Modifikasi Application Content atau Expiration Time sebelum menyetujui.
Unprocessed Steps menampilkan semua pemberi persetujuan yang memiliki izin untuk menyetujui permintaan tersebut. Processed Steps hanya menampilkan pemberi persetujuan yang telah bertindak.

Menampilkan catatan permintaan izin

Setelah mengajukan permintaan, lacak permintaan tersebut di halaman Permission Application Records. Filter catatan berdasarkan Approval status, Application Time, atau Workspace.

Klik View details di kolom Operation untuk melihat riwayat permintaan lengkap. Untuk permintaan dengan Approval status berupa In approval, proses persetujuan masih dapat dilanjutkan dari halaman ini. Setelah permintaan disetujui, Anda dapat melihat hasil persetujuan di halaman ini dan memastikan bahwa izin tersebut telah berlaku.

Menampilkan catatan persetujuan izin

Yang melakukan: Approver

Di halaman Permission Application Processing Records, tampilkan catatan persetujuan untuk Akun Alibaba Cloud saat ini. Filter berdasarkan Application account number, Approval Results, atau Workspace.

Klik View details di kolom Operation untuk melihat detail permintaan yang telah diproses.

Audit Izin

Yang melakukan: Administrator ruang kerja atau pemilik Akun Alibaba Cloud

Di tab Permission Audit, tampilkan dan kelola semua izin aktif yang diberikan kepada anggota ruang kerja. Gunakan filter untuk menemukan resource tertentu, lalu:

Klik Revoke permissions atau View permissions di kolom Actions.

Topik Terkait

Security Center — Konfigurasikan dan kelola kebijakan keamanan untuk ruang kerja Anda
Approval Center — Sesuaikan alur persetujuan untuk permintaan izin
Detail kontrol izin data MaxCompute — Pahami model kontrol izin yang mendasari