Fitur kontrol akses data dari DataWorks memungkinkan Anda mengelola izin pada mesin komputasi MaxCompute yang terkait dengan ruang kerja Anda. Fitur ini mencakup cara meminta izin pada tabel MaxCompute, memproses permintaan izin, mengaudit izin, serta melihat catatan permintaan dan pemrosesan izin. Topik ini menjelaskan cara mengelola izin pada MaxCompute.
Informasi latar belakang
Dalam ruang kerja DataWorks dalam mode standar, anggota memiliki izin baca pada semua data di Proyek MaxCompute yang terkait dengan ruang kerja dalam lingkungan pengembangan. Untuk informasi lebih lanjut, lihat Perilaku akses data dan izin akses yang diperlukan pada instance mesin komputasi MaxCompute yang terkait dengan ruang kerja dalam berbagai mode.
Jika anggota ingin menggunakan sumber daya dan fungsi dalam Proyek MaxCompute yang terkait dengan ruang kerja dalam lingkungan produksi, mereka harus mengikuti petunjuk dalam topik ini untuk pergi ke Security Center dan meminta izin akses pada tabel, sumber daya, dan fungsi dalam Proyek MaxCompute di lingkungan produksi.
Secara default, dalam ruang kerja DataWorks dalam mode standar, tidak ada pemetaan yang dikonfigurasikan antara anggota dalam ruang kerja di lingkungan produksi dan peran dalam Proyek MaxCompute yang terkait dengan ruang kerja di lingkungan produksi.
Pengguna hanya dapat menggunakan tabel, sumber daya, dan fungsi dalam Proyek MaxCompute yang terkait dengan ruang kerja dalam lingkungan pengembangan setelah aplikasi yang diajukan disetujui.
Prasyarat
Sumber data MaxCompute telah ditambahkan. Untuk informasi lebih lanjut, lihat Tambahkan sumber data MaxCompute.
Anda sudah familiar dengan konten dalam Kelola izin pada data dalam instance mesin komputasi MaxCompute.
Anda sudah familiar dengan konten dalam Perbedaan antara ruang kerja dalam mode dasar dan ruang kerja dalam mode standar.
Anda dapat meminta izin pada tabel, sumber daya, dan fungsi dari sumber data MaxCompute.
Kontrol akses tingkat kolom diaktifkan untuk Proyek MaxCompute yang terkait dengan ruang kerja dalam lingkungan pengembangan dan produksi di konsol MaxCompute. Ini memungkinkan Anda meminta izin pada bidang dalam tabel Proyek MaxCompute di lingkungan pengembangan dan produksi di Security Center. Untuk informasi lebih lanjut, lihat Kontrol akses berbasis label.
Proses mengelola izin pada MaxCompute
Skenario
Skema | |
Anda ingin menggunakan pengguna RAM dalam lingkungan pengembangan ruang kerja untuk mengakses tabel, sumber daya, dan fungsi dalam lingkungan produksi ruang kerja. |
Jika pengguna RAM yang ingin digunakan untuk mengakses DataWorks tidak ditentukan sebagai identitas akses mesin komputasi dalam lingkungan produksi, Anda tidak dapat menggunakan pengguna RAM tersebut untuk melakukan operasi pada tabel dalam lingkungan produksi di halaman DataStudio secara default. Jika Anda ingin menggunakan pengguna RAM untuk melakukan operasi pada tabel dalam lingkungan produksi di halaman DataStudio, Anda harus meminta izin yang diperlukan untuk pengguna RAM di Security Center. Setelah permintaan disetujui, Anda dapat menggunakan pengguna RAM untuk melakukan operasi pada tabel dalam lingkungan produksi di halaman DataStudio. |
Anda ingin menggunakan pengguna RAM dalam lingkungan pengembangan atau produksi Ruang Kerja A untuk mengakses tabel, sumber daya, dan fungsi dalam lingkungan pengembangan atau produksi Ruang Kerja B di halaman DataStudio Ruang Kerja A. |
Secara default, Anda tidak dapat menggunakan pengguna RAM di Ruang Kerja A untuk mengakses tabel dalam lingkungan pengembangan atau produksi Ruang Kerja B di halaman DataStudio Ruang Kerja A. Jika Anda ingin menggunakan pengguna RAM di Ruang Kerja A untuk mengakses tabel dalam lingkungan pengembangan atau produksi Ruang Kerja B, Anda harus meminta izin yang diperlukan untuk pengguna RAM di Security Center. Setelah permintaan disetujui, Anda dapat menggunakan pengguna RAM untuk melakukan operasi pada tabel di halaman DataStudio Ruang Kerja A. |
Prosedur aplikasi izin
Di halaman Kontrol Akses Data, Anda dapat request permissions, process permission requests, audit permissions, serta melihat permission request records dan request processing records. Jika pengguna RAM tidak dapat mengakses tabel tertentu selama pengembangan data, Anda dapat meminta izin yang diperlukan untuk pengguna RAM di tab Permission Application. Setelah seorang pemberi persetujuan, yang dapat dipegang oleh administrator ruang kerja atau pemilik tabel, menyetujui permintaan di tab Permission Application Processing, pengguna RAM dapat mengakses tabel tertentu.
DataWorks Security Center menyediakan prosedur pemrosesan permintaan default. Anda juga dapat menentukan prosedur pemrosesan permintaan kustom di Pusat Persetujuan. Saat Anda meminta izin pada bidang dalam tabel MaxCompute, DataWorks menentukan prosedur pemrosesan permintaan yang dapat Anda gunakan berdasarkan bidang tersebut.
Anda tidak dapat menentukan prosedur pemrosesan permintaan kustom atau mengaudit izin untuk sumber daya dan fungsi.
Pemohon: Anda dapat meminta izin pada tabel MaxCompute di Security Center. Anda dapat melihat catatan permintaan izin yang diajukan menggunakan akun login saat ini di tab Catatan Aplikasi Izin.
Pemberi Persetujuan: Anda dapat melihat dan memproses permintaan sebagai administrator ruang kerja atau pemilik tabel di tab Pemrosesan Aplikasi Izin. Anda dapat melihat hasil pemrosesan permintaan izin tabel, sumber daya, dan fungsi yang diproses menggunakan akun login saat ini di tab Catatan Pemrosesan Aplikasi Izin.
Auditor: Anda dapat mengelola izin anggota ruang kerja pada tabel dan mencabut izin pada tabel dari anggota ruang kerja di tab Permission Audit menggunakan akun Alibaba Cloud atau sebagai administrator ruang kerja.
Langkah 1: Pergi ke halaman Kontrol Akses Data
Masuk ke Konsol DataWorks. Di bilah navigasi atas, pilih wilayah yang diinginkan. Di panel navigasi di sebelah kiri, pilih . Di halaman yang muncul, klik Go to Security Center.
Langkah 2: Meminta izin
Saat Anda meminta izin pada tabel, sumber daya, dan fungsi di halaman Kontrol Akses Data, Anda harus mengonfigurasi parameter di bagian Application Content dan Application Information halaman Kontrol Akses Data. Untuk informasi lebih lanjut, lihat tabel berikut.
Anda tidak dapat menentukan prosedur pemrosesan permintaan kustom atau mengaudit izin untuk sumber daya dan fungsi.
Meminta izin pada tabel
Pergi ke tab Permission Application.
Pilih tabel di mana Anda ingin meminta izin.
Di bagian Application Content, atur Data Source Type ke MaxCompute, dan pilih workspace dan project.
Di bagian Tables to Be Added, pilih tabel di mana Anda ingin meminta izin.
Setelah Anda memilih tabel, informasi tentang tabel ditampilkan di sebelah kanan. Anda dapat mengklik ikon
di sebelah kiri table name untuk melihat semua bidang dalam tabel. Anda dapat meminta izin pada bidang tertentu atau semua bidang. Secara default, izin pada semua bidang diminta.
CatatanKontrol akses tingkat kolom diaktifkan untuk Proyek MaxCompute yang terkait dengan ruang kerja dalam lingkungan pengembangan dan produksi di konsol MaxCompute. Ini memungkinkan Anda meminta izin pada bidang dalam tabel Proyek MaxCompute di lingkungan pengembangan dan produksi di Security Center. Untuk informasi lebih lanjut, lihat Kontrol akses berbasis label.
Anda dapat meminta izin tingkat kolom berikut: SELECT dan UPDATE. Anda dapat meminta izin tingkat tabel berikut: DESCRIBE, DROP, ALTER, SELECT, dan UPDATE. Anda juga dapat meminta izin pada bidang tertentu. Setelah Anda diberikan izin tingkat kolom SELECT dan UPDATE pada tabel, Anda secara otomatis diberikan izin tingkat kolom SELECT dan UPDATE pada kolom yang ditambahkan ke tabel.
Di bagian Application Information, konfigurasikan parameter. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
User
Akun atau pengguna untuk mana Anda meminta izin pada tabel MaxCompute.
Current login account: menunjukkan bahwa Anda ingin meminta izin pada tabel untuk akun yang digunakan untuk mengakses ruang kerja saat ini.
Account Used for Scheduling: menunjukkan bahwa Anda ingin meminta izin pada tabel untuk pengguna RAM yang ditentukan sebagai identitas akses penjadwalan.
Apply on Behalf of Others: menunjukkan bahwa Anda ingin meminta izin pada tabel untuk akun yang tidak digunakan untuk mengakses ruang kerja saat ini. Jika Anda memilih opsi ini, Anda harus mengonfigurasi parameter Username.
Workspace
Ruang kerja di mana Anda ingin menggunakan tabel jika Anda mengatur User ke Account Used for Scheduling.
Application Duration
Masa berlaku izin yang diminta pada tabel. Izin secara otomatis dicabut setelah masa berlaku berakhir.
CatatanAnda hanya dapat mengonfigurasi parameter ini setelah Anda mengaktifkan otorisasi berbasis kebijakan untuk Proyek MaxCompute yang berisi tabel di mana Anda meminta izin. Untuk informasi lebih lanjut tentang cara mengaktifkan otorisasi berbasis kebijakan, lihat Kelola izin pada data dalam instance mesin komputasi MaxCompute. Untuk informasi lebih lanjut tentang kontrol akses berbasis kebijakan MaxCompute, lihat Kontrol akses berbasis kebijakan.
Reason for Application
Alasan mengapa Anda ingin meminta izin.
Klik Apply for permission untuk mengirimkan permintaan.
Anda dapat melihat detail pemrosesan dan catatan permintaan saat ini di tab Permission Application Records.
Meminta izin pada sumber daya
Bidang dan parameter | Deskripsi | Tangkapan layar | |
Application Content | Application Type |
|
|
Data Source Type | Nilai defaultnya adalah MaxCompute dan tidak dapat diubah. | ||
Workspace | Ruang kerja tempat sumber daya yang Anda minta izin milik. | ||
MaxCompute Project | Proyek MaxCompute yang terkait dengan ruang kerja tempat sumber daya milik. | ||
Resource Name | Nama sumber daya tempat Anda ingin meminta izin. | ||
Application Information | User | Akun atau pengguna untuk mana Anda meminta izin pada sumber daya.
|
|
Application Duration | Masa berlaku izin yang diminta pada sumber daya. Izin secara otomatis dicabut setelah masa berlaku berakhir. | ||
Reason for Application | Alasan mengapa Anda ingin meminta izin. | ||
Setelah Anda menyelesaikan konfigurasi, klik Apply for permission untuk mengirimkan permintaan.
Anda dapat melihat detail pemrosesan dan catatan permintaan saat ini di tab Permission Application Records.
Meminta izin pada fungsi
Bidang dan parameter | Deskripsi | Tangkapan layar | |
Application Content | Application Type |
|
|
Data Source Type | Nilai defaultnya adalah MaxCompute dan tidak dapat diubah. | ||
Workspace | Ruang kerja tempat fungsi yang Anda minta izin milik. | ||
MaxCompute Project | Proyek MaxCompute yang terkait dengan ruang kerja tempat fungsi milik. | ||
Function Name | Nama fungsi tempat Anda ingin meminta izin. | ||
Application Information | User | Akun atau pengguna untuk mana Anda meminta izin pada fungsi.
|
|
Application Duration | Masa berlaku izin yang diminta pada fungsi. Izin secara otomatis dicabut setelah masa berlaku berakhir. | ||
Reason for Application | Alasan mengapa Anda ingin meminta izin. | ||
Setelah konfigurasi selesai, klik Apply for permission untuk mengirimkan permintaan.
Anda dapat melihat detail pemrosesan dan catatan permintaan saat ini di tab Permission Application Records.
Langkah 3: Memproses permintaan
Lihat informasi tentang permintaan yang tertunda.
Pergi ke tab Permission Application Processing. Anda dapat menentukan kondisi filter berikut untuk mencari permintaan yang tertunda dalam akun Alibaba Cloud saat ini: Application Account Number, Application Time, Workspace, Project Name, dan Object Name.
CatatanJika pesanan permintaan izin diajukan untuk meminta izin pada beberapa tabel yang dimiliki oleh pemilik berbeda, sistem membagi pesanan permintaan menjadi beberapa permintaan berdasarkan pemilik tabel.
Lihat detail tentang permintaan izin.
Temukan permintaan izin dan klik Approval di kolom Operation. Anda dapat melihat detail dan catatan pemrosesan permintaan izin dalam kotak dialog Approval details.
Memproses permintaan izin.
Untuk memproses satu permintaan izin, masukkan comments Anda dan klik Agree atau Rejection berdasarkan kebutuhan bisnis Anda.
Untuk memproses beberapa permintaan sekaligus, pilih semua permintaan yang ingin diproses di tab Permission Application Processing, klik Batch Consent atau Batch rejection, lalu masukkan comments Anda.
Lihat permintaan izin historis dan catatan pemrosesannya
Lihat catatan permintaan izin. Anda dapat menentukan kondisi filter seperti Approval Status, Application Time, dan Workspace untuk melihat the permission request records dari akun Alibaba Cloud saat ini.
Untuk melihat detail tentang permintaan izin, klik View details di kolom Operation dari permintaan. Anda dapat melanjutkan memproses permintaan yang status pemrosesannya adalah In approval.
Lihat catatan pemrosesan permintaan. Anda dapat menentukan kondisi filter seperti Application Account Number, Approval Results, dan Workspace untuk melihat the request processing records dari akun Alibaba Cloud saat ini.
Untuk melihat detail tentang permintaan izin, klik View details di kolom Operation dari permintaan.