安全設定是保護資料免受未經授權的情況下被訪問、破壞或泄露。您可以對資料安全及訪問進行精細化控制,來保障資料的安全性。
前提條件
需購買智能研發版或基礎研發版才能使用安全設定功能。
許可權說明
超級管理員、系統管理員和具有安全設定-管理許可權的自訂全域角色支援進行安全設定。
嚴格許可權模式
背景資訊
Dataphin管理中心支援專案安全模式設定功能,在未設定的情況下,會存在以下安全問題:
不同專案,在專案系統管理員不知情的情況下,使用者可以隨意跨專案進行DDL操作。
說明DDL語句詳情,請參見DDL語句。
同一專案,使用者可以在Dev環境直接操作Prod環境的資料,造成Prod環境資料泄漏或意外變更。
下表以開發人員角色為例,介紹安全模式開啟與關閉的情況下,對專案的操作許可權。
操作
預設(許可權模式均未開啟)
跨專案安全模式(開啟)
生產資料安全模式(開啟)
當前專案Dev環境的所有表操作
支援
-
-
當前專案Prod環境的所有表操作
支援
-
不支援
跨專案查詢
支援
-
-
跨專案DDL
支援
不支援
-
重要設定安全模式後,專案資料有更高的安全性,但是會導致系統使用流暢程度下降,建議您根據業務需求進行設定。
表示當前操作不受跨專案安全模式或生產資料安全模式功能管控。
嚴格許可權模式的預設配置
在Dataphin首頁的頂部功能表列,選擇管理中心 > 規範設定。
在左側導覽列選擇資料訪問 > 安全設定,進入安全設定頁面。
在安全設定頁面,單擊嚴格許可權模式頁簽,在預設配置地區,開啟或關閉跨專案安全模式、生產資料安全模式。
嚴格許可權模式
描述
跨專案安全模式
關閉:在具備操作目標對象許可權的前提下,允許跨專案執行DDL任務。
開啟:禁止跨專案執行和提交DDL任務(包括建表、刪表、改表等)。
生產資料安全模式
關閉:允許在Dev環境修改Prod環境資料。
開啟:在Dev環境將不能修改Prod環境的資料(包括表的增刪改)。
說明開啟後,如需修改Prod環境的資料,需要走發布流程,詳情請參見發布中心。
嚴格許可權模式的專案配置
未單獨配置的專案以預設配置為準。
每個專案僅可配置一次安全模式。
在嚴格許可權模式頁簽,單擊添加安全模式配置按鈕。
在添加安全模式配置對話方塊,選擇需要開啟嚴格許可權模式的專案。
參數
描述
專案
選擇需要配置安全模式的專案,支援多選。
跨專案安全模式
開啟:禁止從任意專案到當前專案DDL(create、drop、alter)。
關閉:允許有許可權的帳號跨專案執行DDL操作。
生產資料安全模式
開啟:禁止從任意專案DDL(create、drop、alter)該專案的生產環境。
關閉:允許有許可權的帳號DDL該專案的生產環境資料。
說明開啟後,如需修改Prod環境的資料,需要走發布流程,詳情請參見發布中心。
單擊確定,完成專案級的嚴格許可權模式配置。
專案配置列表
支援在專案配置列表查看專案的名稱、跨專案安全模式和生產資料安全模式的狀態。
(可選)您可以根據專案的名稱搜尋目標專案。
您可以對目標專案執行如下操作。
操作
描述
查看安全模式說明
可單擊跨專案安全模式或生產資料安全模式後的
表徵圖,再單擊查看圖解,瞭解跨專案安全模式和生產資料安全模式的管控詳情。編輯
可添加或減少專案、開啟或關閉跨專案安全模式和生產資料安全模式的狀態。
刪除
專案安全模式配置刪除後不可撤銷,請謹慎操作。
SPARK Batch任務(Spark Jar,PySpark)
使用限制
在使用Spark on MaxCompute任務時,需要對邏輯表的訪問進行鑒權(讀、寫等許可權)。
不同的計算引擎支援不同版本的Spark on MaxCompute任務(MaxCompute引擎中的Spark on MaxCompute任務預設使用SPARK V2.4.5,Hadoop引擎中的Spark on MaxCompute任務使用的版本為TBD)。
MaxCompute引擎下可開啟Spark on MaxCompute任務鑒權模式。Hadoop引擎下(除Inceptor外)不可開啟Spark on MaxCompute任務鑒權模式。
當計算引擎為ArgoDB、Lindorm(計算引擎)、StarRocks、GaussDB(DWS)、Databricks、Doris、SelectDB時,不支援配置該任務。
操作步驟
在Dataphin首頁的頂部功能表列,選擇管理中心 > 規範設定。
在左側導覽列選擇資料訪問 > 安全設定,進入安全設定頁面。
在安全設定頁面,單擊SPARK Batch任務(Spark Jar,PySpark)頁簽,開啟或關閉SPARK Batch任務(Spark Jar,PySpark)、鑒權模式。
SPARK Batch任務(Spark Jar,PySpark)
描述
SPARK Batch任務(Spark Jar,PySpark)
關閉:原有的SPARK Batch任務(Spark Jar,PySpark)仍可進行編輯、刪除、執行、提交、發布等操作。
開啟:支援建立SPARK Batch任務(Spark Jar,PySpark)。
鑒權模式
關閉:需開啟OpenAPI功能模組的情況下才可開啟。
開啟:鑒權開啟後,SPARK Batch任務(Spark Jar、PySpark)的資料訪問將進行許可權校正,原有的任務若無相應許可權,則將導致任務執行失敗。
說明開啟後可訪問邏輯表,且使用邏輯專案和板塊的方式訪問資料表。
單擊確定,完成配置。
函數鑒權配置
預設所有專案下的離線函數可以通過專案名.函數名的方式被調用,添加了函數鑒權的專案,需申請函數的使用許可權。
背景資訊
在本專案中建立的函數,可以被跨專案調用,對資料的安全性造成很大風險,需對離線函數的調用加以管控,增加資料安全性。
在Dataphin首頁的頂部功能表列,選擇管理中心 > 規範設定。
在左側導覽列選擇資料訪問 > 安全設定,進入安全設定頁面。
在安全設定頁面,單擊函數鑒權設定頁簽,再單擊添加專案按鈕。
在添加專案對話方塊中,配置參數。
專案:添加函數的所屬專案。
重要如果生產環境中的任務調用了所選專案的函數,此操作可能導致生產任務報錯,請謹慎操作。
單擊確定,完成添加。
專案設定列表
您可查看已添加專案的名稱、環境、描述資訊。
您可通過專案名稱關鍵字進行搜尋。
支援對目標專案執行如下操作。
刪除:單擊目標專案操作列下的刪除表徵圖,刪除後,該專案下的函數被跨專案調用時,將不再進行鑒權。
使用權限設定
可控制專案系統管理員和板塊架構師的資料來源建立許可權,增強許可權的集中管理。
在Dataphin首頁的頂部功能表列,選擇管理中心 > 規範設定。
在左側導覽列選擇資料訪問 > 安全設定,進入安全設定頁面。
在安全設定頁面,單擊使用權限設定頁簽,選擇是否允許專案系統管理員/板塊架構師建立資料來源。
允許專案系統管理員/板塊架構師建立資料來源:選擇是,Basic模式和Prod模式的專案系統管理員、板塊架構師支援建立資料來源;選擇否,則不支援建立資料來源,並影響建立資料來源時許可權提示的展示。
單擊確定,完成配置。