MaxCompute資料存取權限申請、審批、審計 - DataWorks

DataWorks的資料存取控制，為您提供了訪問MaxCompute引擎資料時的許可權管控能力，包括許可權申請、許可權審批、許可權審計，還支援您查看許可權申請記錄、許可權審批記錄。本文為您介紹MaxCompute資料存取權限管控。

背景資訊

若您需要在DataWorks標準工作空間中訪問生產環境的MaxCompute資料來源的表資料、資源和函數，則需申請相應的許可權。這有助於實現對生產環境資產的安全管理與管控。

本文適用於：需要訪問生產環境MaxCompute資料來源的表資料、資源、函數的情境。

說明

在標準模式工作空間中，DataWorks處理開發環境的專案時，會預設在MaxCompute的專案角色中新增成員。這樣，成員將具備所有資料的讀取許可權。詳情請參見MaxCompute引擎在不同模式工作空間訪問資源與許可權說明。
在標準工作空間模式中，DataWorks處理生產環境的專案時，預設不會在MaxCompute的專案角色中新增成員。
許可權申請者在申請MaxCompute的表資料、資源、函數後，需經過審批者同意後，方可使用。

前提條件

資料存取權限管控流程

應用情境

情境

同工作空間內，開發環境使用者訪問生產環境表、資源或函數。

情境1

當DataWorks的子帳號未被添加為生產環境計算引擎訪問身份時，預設該帳號無法在資料開發介面直接操作本工作空間的生產表，如果子帳號需要擁有生產表許可權，需要在資訊安全中心發起申請，待審批通過後，便可在資料開發介面對錶進行相關操作。

開發或生產環境使用者訪問跨工作空間的開發或生產環境表、資源或函數。

情境2

預設不在工作空間下的子帳號無法在資料開發介面跨專案訪問開發表或生產表。如果需要跨專案操作開發表或生產表，子帳號需要在資訊安全中心發起申請，待審批通過後，便可在資料開發介面對錶進行相關操作。

許可權申請流程

資料存取控制功能支援您進行許可權申請、許可權審批、許可權審計的操作，還支援您查看許可權申請記錄、許可權審批記錄。在RAM使用者（子帳號）在開發過程中若無相關表許可權，可通過許可權申請介面申請對應許可權。待審批人員（空間管理員或者表Owner）在許可權審批頁面通過申請後，便可獲得許可權。

說明

DataWorks的資訊安全中心為您提供預設的許可權申請審批次程序，同時也支援您在核准中心自訂審批次程序。當您申請MaxCompute引擎表欄位許可權時，DataWorks會根據申請的表欄位來識別需要進行哪種類型的審批次程序。

說明

資源與函數許可權申請，不支援自訂審批與許可權審計管理。

許可權申請人：可以通過資訊安全中心頁面申請MaxCompute表的許可權。審批通過後，使用者可在許可權申請記錄頁面查看審批結果，並確認許可權已生效。
許可權審批人：審批人員收到申請後，需在許可權審批頁面查看申請詳情，並根據申請內容決定是否同意或拒絕。對於已審批的申請，支援通過許可權審批記錄頁面查看當前登入的阿里雲帳號的表、資源、函數的審批結果。
許可權審計：阿里雲主帳號或空間管理員進入許可權審計頁面對工作空間下的成員擁有的表許可權進行管控，支援對工作空間下某成員所擁有的許可權進行回收。

許可權申請

在資料存取控制頁面進行許可權申請，需要配置申請內容與申請資訊兩個模組的資訊。

登入DataWorks控制台，切換至目標地區後，單擊左側導覽列的資料治理 > 資訊安全中心，在右側頁面中單擊進入資訊安全中心。
在資訊安全中心的左側導覽列單擊進入資料平台安全 > 資料存取控制頁面。

在資料存取控制頁面，選擇許可權申請頁簽，申請MaxCompute表、資源或函數。

表許可權申請

在申請表許可權時，在添加目標表後，您可以按需申請表級許可權或列級許可權

申請配置項		配置說明
申請內容	資料來源類型	選擇MaxCompute類型。
	申請類型	`表`
	工作空間	選擇需要申請`表`所在的工作空間。
	MaxCompute專案	`表`所在的工作空間綁定的MaxCompute專案。
	Schema	表所在的Schema
待添加表	申請表級許可權	支援申請表維度`Select`、`Update`、`Download`、`Describe`、`Alter`、`Drop`許可權。
待添加表	申請列級許可權	支援申請列維度`Select`、`Update`、`Download`許可權。

說明

在MaxCompute專案未啟用labelsecurity時，如果您成功申請表層級的Select、Update許可權，則表中新增列時，會自動繼承Select、Update許可權。
在MaxCompute專案啟用labelsecurity時，請申請欄位許可權。因為申請表層級許可權後，新增欄位不會自動繼承表層級許可權。

資源許可權申請

申請配置項		配置說明
申請內容	資料來源類型	選擇MaxCompute類型。
	申請類型	`資源`
	工作空間	選擇需要申請資源所在的工作空間。
	專案	資源所在的工作空間綁定的MaxCompute專案。
	資源名稱	需要申請許可權的資源。

函數許可權申請

申請配置項		配置說明
申請內容	資料來源類型	選擇MaxCompute類型。
	申請類型	`函數`
	工作空間	選擇需要申請函數所在的工作空間。
	專案	函數所在的工作空間綁定的MaxCompute專案。
	函數名稱	需要申請許可權的函數名稱。

配置申請資訊。

申請配置項		配置說明
申請資訊	使用者	選擇需要為誰申請目標資源許可權。當前登入帳號：表示為當前登入DataWorks工作空間的阿里雲帳號申請目標表許可權。調度訪問帳號：表示為被設定為調度訪問身份的RAM使用者（子帳號）申請目標表許可權。代他人申請：表示當前登入DataWorks工作空間的阿里雲帳號為其他阿里雲帳號申請目標表許可權。選擇該選項時，需要配置使用者名稱參數。
	申請時間長度	支援自訂許可權的有效時間長度，到期後許可權將自動回收。說明使用此功能前需要表所在的MaxCompute專案開啟Policy授權，詳情請參見：MaxCompute資料許可權控制詳情，關於MaxCompute Policy的說明請參見：Policy許可權控制。
	申請原因	簡要說明申請許可權的原因，便於審批人理解。

單擊申請許可權，提交申請。
您可以在許可權申請記錄頁簽，查看進行中的申請的審批詳情及審批記錄。

許可權審批

許可權申請人提交許可權審批後，許可權審批人即可在許可權審批頁簽進行審批。

進入許可權審批頁面，您可以根據申請帳號、申請時間、工作空間、專案名稱、對象名稱等條件進行篩選，查看目標條件下，當前登入的阿里雲帳號名下需要審批的申請資訊。
說明
同一個申請單提交的多張表許可權申請，會按照表Owner的不同自動拆分成多個申請單。
單擊目標申請操作列的審批，您可以在審批詳情對話方塊查看目標申請的申請詳情、審批記錄等詳細資料，在審批詳情彈窗內可進行以下操作：
- 根據申請的詳細內容及當前需求判斷是否同意審批該申請，填寫審批意見，選擇同意或拒絕進行中的申請
- 修改申請單的申請內容和到期時間。
說明
- 未處理的環節：顯示具有審批許可權的全部審批人。
- 已處理的環節：僅顯示處理該申請單的審批人。
除過在審批詳情內單個審批，您也可以直接在許可權審批頁面，勾選全部申請，單擊批量同意或批量拒絕，填寫審批意見，批量處理目標申請。

查看許可權申請記錄

在許可權申請記錄記錄頁面，您可以根據審批狀態、申請時間、工作空間等條件進行篩選，查看當前登入的阿里雲帳號名下涉及的申請記錄。

您還可以單擊目標申請操作列的查看詳情，查看申請的詳細資料。同時，對於審批狀態為審批中的申請，您可以繼續後續的審批操作。

查看許可權審批記錄

在許可權審批記錄頁面，您可以根據申請帳號、審批結果、工作空間等條件進行篩選，查看當前登入的阿里雲帳號的審批記錄。

您還可以單擊目標申請操作列的查看詳情，查看申請的詳細資料。

許可權審計

完成許可權審批後，您可在許可權審計頁簽內通過篩選項尋找並審計目標資源，查看目標資源的授權資訊，以及在操作列回收許可權或查看許可權。