全部產品
Search

搜尋本產品

    DataWorks:DLF資料存取權限控制

    文件中心

    DataWorks:DLF資料存取權限控制

    更新時間:Mar 20, 2026

    DataWorks為您提供Data Lake Formation(DLF)和資料湖構建(DLF-Legacy)的可視化許可權申請、許可權審批及許可權審計等功能,協助您實現資料湖統一許可權管理。本文為您詳細介紹如何進行DLF資料存取權限管控。

    背景資訊

    首次通過DataWorks管控資料湖構建平台(DLF)許可權時,DataWorks會提示您授權DataWorks訪問資料湖構建的相關許可權。授權時,系統會自動建立一個服務關聯角色AliyunServiceRoleForDataWorksAccessDLF。關於AliyunServiceRoleForDataWorksAccessDLF策略相關說明。詳情請參見:DataWorks訪問DLF的服務關聯角色

    DataWorks的資料存取控制功能支援以下兩種DLF資料來源類型:

    • Data Lake Formation(DLF):DLF 3.0版本,提供更精細的許可權管理能力,支援中繼資料庫級、表級和欄位級許可權申請。

    • 資料湖構建(DLF-Legacy):DLF舊版本,保持原有的許可權管理方式。

    DLF資料存取權限管控流程

    DLF管控流程

    角色

    說明

    許可權申請人

    可以通過許可權申請頁面申請相關表許可權。對於已提交的申請,支援通過許可權申請記錄頁面查看當前阿里雲帳號提交的申請記錄。

    許可權審批人

    可以通過許可權審批頁面查看待我審批的表許可權。對於已審批的申請,支援通過許可權審批記錄頁面查看當前阿里雲帳號審批通過的表。

    許可權審計人

    阿里雲主帳號或空間管理員進入權限審計頁面查看工作空間下的成員及其擁有的表許可權詳情,還支援對工作空間下某成員所擁有的許可權進行回收。

    進入資料存取控制

    登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的數據治理 > 資訊安全中心,在右側頁面中單擊進入資訊安全中心

    許可權申請

    1. 點擊資料平台安全 > 資料存取控制 > 許可權申請,進入許可權申請頁簽。申請內容地區,選擇引擎類型

      DLF相關的資料來源類型包括:

      • Data Lake Formation(DLF):DLF 3.0版本。

      • 資料湖構建(DLF-Legacy):DLF舊版本。

      說明

      以下操作步驟以Data Lake Formation(DLF)為例進行說明。選擇資料湖構建(DLF-Legacy)時操作方式類似,具體許可權點可能不同。

    2. 設定授權粒度Catalog,選擇需要申請許可權的對象。

      授權粒度包括以下三種:

      • 中繼資料庫級許可權:在列表中勾選需要申請的中繼資料庫,並在中繼資料庫許可權列勾選需要申請的許可權點。

        許可權點包括:DescribeAlterDropCreateTableCreateFunctionList

      • 表級許可權:在待添加錶地區勾選需要申請的目標表,勾選後右側會顯示目標表的相關資訊,在對應許可權列勾選需要申請的許可權點。

        許可權點包括:SelectUpdateAlterDrop等。

      • 欄位級許可權:在待添加錶地區勾選需要申請的目標表,勾選目標表後,右側會顯示目標表及其欄位資訊。單擊表名稱前的展開表徵圖,顯示當前表的所有欄位,在Select列勾選需要申請的欄位許可權。

        說明

        僅DLF內部Paimon表支援欄位級許可權管理。

    3. 配置申請信息

      參數

      描述

      使用者

      選擇需要為誰申請許可權。

      • 當前登錄賬號:表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。

      • 代他人申請:表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時,需要配置用户名參數。

      • DLF角色:表示為DLF角色申請許可權。選擇該選項時,支援通過下拉式清單選中多個DLF角色。僅Data Lake Formation(DLF)資料來源類型支援該選項。

      申請時長

      選擇申請許可權的時間長度。

      • 資料來源類型為Data Lake Formation(DLF)時,僅支援永久

      • 資料來源類型為資料湖構建(DLF-Legacy)時,支援自訂申請時間長度,到期許可權將自動收回。

      申請原因

      輸入申請目標表許可權的原因。

    4. 單擊申請許可權,提交申請。

      您可以在權限申請記錄頁簽,查看進行中的申請的審批詳情及審批記錄。

    許可權審批

    說明

    RAM使用者(子帳號)需要具備Admin(資料湖管理員)或super_administrator(超級管理員)的許可權,才可進行許可權審批操作。

    1. 查看待審批的申請。

      進入權限審批頁面,選擇引擎類型為Data Lake Formation(DLF)資料湖構建(DLF-Legacy),並根據篩選條件,查看當前登入的阿里雲帳號名下需要審批的申請資訊。

      說明

      同一個申請單提交的多張表許可權申請,會按照表Owner的不同自動拆分成多個申請單。

    2. 查看審批詳情。

      單擊目標申請操作列的审批,您可以在審批詳情對話方塊查看目標申請的申請詳情審批記錄等詳細資料。

    3. 審批申請。

      根據申請的詳細內容及當前需求判斷是否同意審批該申請,填寫審批意見,選擇同意拒絕進行中的申請。

      您也可以直接在權限審批頁面,勾選全部申請,單擊批量同意批量拒絕,填寫審批意見,批量處理目標申請。

    查看許可權審批記錄

    權限審批記錄頁面,您可以根據申請帳號審批結果工作空間等條件進行篩選,查看當前登入的阿里雲帳號的審批記錄。

    您還可以單擊目標申請操作列的查看詳情,查看申請的詳細資料。