安全中心提供的数据访问控制功能,方便您以可视化的方式申请、审批、审计相关权限,查看审批流程并跟进审批进度,进行权限的管控。

应用场景

为了保障生产数据安全,在标准模式工作空间下,DataWorks对子账号访问MaxCompute表的操作进行了管控。详情请参见:用户、角色与权限概述简单模式和标准模式的区别

  • 场景一:同工作空间内,开发环境用户访问生产环境表。场景1

    当DataWorks的子账号未被添加为生产环境计算引擎访问身份时,默认该账号无法在数据开发界面直接操作本工作空间的生产表,如果子账号需要拥有生产表权限,需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

  • 场景二:开发或生产环境用户访问跨工作空间的开发或生产环境表。场景2

    默认不在工作空间下的子账号无法在数据开发界面跨项目访问开发表或生产表。如果需要跨项目操作开发表或生产表,子账号需要在安全中心发起申请,待审批通过后,便可在数据开发界面对表进行相关操作。

数据访问控制流程

数据访问控制功能支持您进行权限申请权限审批权限审计的操作,还支持您查看权限申请记录权限审批记录。在子账号开发过程中没有相关表权限的场景下,可以通过权限申请界面申请对应权限。待审批人员在权限审批页面通过申请后,便可获得权限。安全中心
  • 权限申请人:可以通过权限申请页面申请MaxCompute表的权限。对于已提交的申请,支持通过权限申请记录页面查看当前登录的阿里云账号提交的申请记录。
  • 权限审批人:可以通过权限审批页面查看我作为空间管理员或者表Owner时,需要审批的表权限。对于已审批的申请,支持通过权限审批记录页面查看当前登录的阿里云账号审批通过的表。

还支持阿里云主账号或空间管理员进入权限审计页面对工作空间下的成员及其拥有的表权限进行管控,支持对工作空间下某成员所拥有的权限进行回收。详情请参见:权限审计

说明 DataWorks的安全中心为您提供默认的权限申请审批流程,同时也支持您在审批中心自定义审批流程。当您申请MaxCompute引擎表字段权限时,DataWorks会根据申请的表字段来识别需要进行哪种类型的审批流程。
  • 如果表字段在自定义审批流程框定的数据范围内,后续将进行审批中心自定义的审批流程。详情请参见审批中心
  • 如果表字段不在自定义审批流程框定的数据范围内,则后续将进行安全中心默认的审批流程。默认将审批单发送给表Owner工作空间管理员,只要其中一人审批通过,申请人便可获得表或字段权限。

使用限制

目前仅支持通过数据访问控制申请MaxCompute表的权限。

注意事项

数据访问控制页面为您展示的是新版的权限管控平台,如果您需要使用旧版权限管控平台,可以单击页面顶部菜单栏右侧的返回旧版进行操作。旧版权限管控平台,详情请参见安全中心

进入数据访问控制

  1. 登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 选择工作空间所在地域后,单击相应工作空间后的进入数据开发
  4. 单击左上角的图标图标,选择全部产品 > 数据治理 > 安全中心,默认进入数据访问控制页面。

权限申请

  1. 进入权限申请页面。
  2. 选择需要申请的表。
    1. 申请内容区域,选择目标工作空间项目

      目前仅支持通过数据访问控制申请MaxCompute表的权限。

      因此申请类型默认为引擎类型默认为MaxCopmute
    2. 待添加表区域,勾选需要申请的目标表。
      勾选目标表后,右侧会显示目标表的相关信息。单击表名称展开图标,显示当前表的所有字段,您可以选择申请目标表的部分或全部字段的权限。默认申请目标表全部字段的权限。申请表权限
      说明
      • MaxCompute项目开启Policy权限控制后,该项目下的表才可以定义并在安全中心单独对表中具体字段申请权限。详情请参见:MaxCompute高级配置。关于MaxCompute表中字段的安全等级说明,详情请参见:列级别访问控制
      • 目前支持申请表级别的Select、Describe、Drop、Alter、Update、Download权限。同时支持您针对单个字段单独申请字段权限。
  3. 配置申请信息
    申请信息
    参数 描述
    使用者
    • 当前登录账号:表示为当前登录DataWorks工作空间的阿里云账号申请目标表权限。
    • 调度访问账号:表示为被设置为调度访问身份的云账号申请目标表权限。选择该选项时,需要配置工作空间参数。
    • 代他人申请:表示当前登录DataWorks工作空间的阿里云账号为其他阿里云账号申请目标表权限。选择该选项时,需要配置用户名参数。
    工作空间 被设置为调度访问身份的云账号。
    用户名 当前登录阿里云账号以外的其他阿里云账号。
    申请时长 支持您按需自定义申请表权限的时长,过期权限将自动收回。
    说明 使用此功能前需要表所在的MaxCompute项目开启Policy授权,详情请参见:MaxCompute高级配置,关于MaxCompute Policy的说明请参见:Policy和Download权限控制
    申请原因 输入申请目标表权限的原因。
  4. 单击申请权限,提交申请。
    您可以在权限申请记录页签,查看当前申请的审批详情及审批记录。

权限审批

  1. 查看待审批的申请。
    进入权限审批页面,您可以根据申请账号申请时间工作空间项目名称对象名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下需要审批的申请信息。审批申请
    说明 同一个申请单提交的多张表权限申请,会按照表Owner的不同自动拆分成多个申请单。
  2. 查看审批详情。
    单击目标申请操作列的审批,您可以在审批详情对话框查看目标申请的申请详情审批记录等详细信息。审批详情
  3. 审批申请。
    根据申请的详细内容及当前需求判断是否同意审批该申请,填写审批意见,选择同意拒绝当前申请。
    您也可以直接在权限审批页面,勾选全部申请,单击批量同意批量拒绝,填写审批意见,批量处理目标申请。

查看权限申请及审批记录

  • 进入权限申请记录页面,您可以根据审批状态申请时间工作空间项目名称表名称等条件进行筛选,查看目标条件下,当前登录的阿里云账号名下涉及的申请记录。

    您可以单击目标申请操作列的查看详情,查看申请的详细信息。同时,对于审批状态审批中的申请,您可以继续后续的审批操作。

  • 进入权限审批记录页面,您可以根据申请账号审批结果工作空间项目名称对象名称申请时间等条件进行筛选,查看目标条件下,当前登录的阿里云账号的审批记录。

    您可以单击目标申请操作列的查看详情,查看申请的详细信息。

权限审计

您可以在权限审计页面,根据工作空间项目名称对象名称进行筛选,查看通过安全中心审批的目标工作空间、项目或对象所涉及的权限申请。