DataWorks的数据访问控制,为您提供了访问MaxCompute引擎数据时的权限管控能力,包括权限申请、权限审批、权限审计,还支持您查看权限申请记录、权限审批记录。本文为您介绍MaxCompute数据访问权限管控。

背景信息

DataWorks通过空间预设角色与空间自定义角色与开发环境引擎Role映射,来让被授予空间角色的RAM用户拥有该角色映射的开发引擎Role权限,但默认无生产权限。您可通过DataWorks安全中心实现MaxCompute数据权限管控。

应用场景

场景
同工作空间内,开发环境用户访问生产环境表。 场景1

当DataWorks的子账号未被添加为生产环境计算引擎访问身份时,默认该账号无法在数据开发界面直接操作本工作空间的生产表,如果子账号需要拥有生产表权限,需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

开发或生产环境用户访问跨工作空间的开发或生产环境表。 场景2

默认不在工作空间下的子账号无法在数据开发界面跨项目访问开发表或生产表。如果需要跨项目操作开发表或生产表,子账号需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

数据访问权限管控流程

数据访问控制功能支持您进行权限申请权限审批权限审计的操作,还支持您查看权限申请记录权限审批记录。在RAM用户(子账号)开发过程中没有相关表权限的场景下,可以通过权限申请界面申请对应权限。待审批人员(空间管理员或者表Owner)在权限审批页面通过申请后,便可获得权限。
说明 DataWorks的安全中心为您提供默认的权限申请审批流程,同时也支持您在审批中心自定义审批流程。当您申请MaxCompute引擎表字段权限时,DataWorks会根据申请的表字段来识别需要进行哪种类型的审批流程。
安全中心

使用限制

目前仅支持申请MaxCompute表级与字段级权限。

注意事项

MaxCompute项目开启Policy权限控制后,该项目下的表才可以定义并在安全中心单独对表中具体字段申请权限。详情请参见:MaxCompute高级配置。关于MaxCompute Policy的说明请参见:Policy权限控制

功能介绍

角色 说明
权限申请人 可以通过权限申请页面申请MaxCompute表的权限。对于已提交的申请,支持通过权限申请记录页面查看当前登录的阿里云账号提交的申请记录。
权限审批人 可以通过权限审批页面查看我作为空间管理员或者表Owner时,需要审批的表权限。对于已审批的申请,支持通过权限审批记录页面查看当前登录的阿里云账号审批通过的表。
权限审计 阿里云主账号或空间管理员进入权限审计页面对工作空间下的成员及其拥有的表权限进行管控,支持对工作空间下某成员所拥有的权限进行回收。

进入数据访问控制

  1. 登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 选择工作空间所在地域后,单击相应工作空间后的进入数据开发
  4. 单击左上角的图标图标,选择全部产品 > 数据治理 > 安全中心,默认进入数据访问控制页面。

权限申请

  1. 进入权限申请页面。
  2. 选择要申请的表。
    1. 申请内容区域,选择引擎类型为MaxCompute,并选择目标工作空间项目
    2. 待添加表区域,勾选需要申请的目标表。
      勾选目标表后,右侧会显示目标表的相关信息。单击表名称展开图标,显示当前表的所有字段,您可以选择申请目标表的部分或全部字段的权限。默认申请目标表全部字段的权限。申请表权限
      说明
      • MaxCompute项目开启Policy权限控制后,该项目下的表才可以定义并在安全中心单独对表中具体字段申请权限。详情请参见:MaxCompute高级配置。关于MaxCompute表中字段的安全等级说明,详情请参见:Label权限控制
      • 目前支持申请表级别的Select、Describe、Drop、Alter、Update、Download权限。同时支持您针对单个字段单独申请字段权限。
  3. 配置申请信息
    参数 描述
    使用者 选择需要为谁申请目标表权限。
    • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。
    • 调度访问账号:表示为被设置为调度访问身份的RAM用户(子账号)申请目标表权限。
    • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。
    工作空间 使用者配置为调度访问账号时,需要选择在哪个工作空间使用目标表。
    申请时长 支持您按需自定义申请表权限的时长,过期权限将自动收回。
    说明 使用此功能前需要表所在的MaxCompute项目开启Policy授权,详情请参见:MaxCompute高级配置,关于MaxCompute Policy的说明请参见:Policy权限控制
    申请原因 输入申请目标表权限的原因。
  4. 单击申请权限,提交申请。
    您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

权限审批

  1. 查看待审批的申请。
    进入权限审批页面,您可以根据申请账号申请时间工作空间项目名称对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。审批申请
    说明 同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。
  2. 查看审批详情。
    单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情审批记录等详细信息。
  3. 审批申请。
    根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意拒绝当前申请。
    您也可以直接在权限审批页面,勾选全部申请,单击批量同意批量拒绝,填写审批意见,批量处理目标申请。

查看权限申请及审批记录

  • 查看权限申请记录:您可以根据审批状态申请时间工作空间等条件进行筛选,查看当前登录的阿里云账号名下涉及的申请记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态审批中的申请,您可以继续后续的审批操作。

  • 查看权限审批记录:您可以根据申请账号审批结果工作空间等条件进行筛选,查看当前登录的阿里云账号的审批记录。

    您还可以单击目标申请操作列的查看详情,查看申请的详细信息。