DataWorks支持授权某角色或成员,在产品模块拥有指定数据源的查询权限;同时,对查询结果可执行的展示、复制、下载、分享等操作进行权限管控,确保数据操作的安全性。本文为您介绍数据查询与分析管控的相关内容。

背景信息

数据查询与分析管控支持对数据源查询和查询结果可执行的展示、复制、下载、分享等操作进行权限管控,具体如下:
  • 数据源查询权限管控
    用于对数据源的查询权限进行管控。DataWorks的数据源分为绑定引擎时默认创建的引擎数据源,及在数据源配置界面创建的自建数据源。不同数据源的管控能力说明如下。
    数据源类型默认权限对数据源查询的权限管控能力参考文档
    引擎数据源DataWorks绑定引擎时,设置的调度访问身份对应的账号或角色,拥有引擎数据源的访问权限。您可通过管控数据源的查询权限功能,对其他用户或角色进行授权,授权时应注意:
    • 成员或角色被授权数据源查询权限后,将获得与数据源访问身份同样的权限。为保障数据的安全性(特别是生产数据),建议您合理规划后谨慎分配权限。
    • 标准模式工作空间的开发环境和生产环境需分别绑定引擎,同时会产生不同的数据源,因此您需进入对应环境获取数据源访问身份。
    自建数据源默认创建自建数据源时,配置的访问该数据源的账号,拥有该自建数据源的访问权限。
    该功能仅对数据源查询权限进行管控,若要对数据源的读写操作进行权限管控,请参考数据集成任务审批流程
  • 数据源查询结果的操作权限管控
    DataWorks支持对查询结果进行展示、复制、下载、分享等操作,并设置数据分析模块中针对该类操作的管控策略,保障数据的操作安全。具体管控能力说明如下。
    默认权限对查询结果相关操作的权限管控能力
    所有用户均拥有展示、复制、下载、分享查询结果的权限。您可通过管控查询结果相关操作功能,设置权限管控策略:
    • 限制是否允许复制、下载、分享结果数据。
    • 限制展示、复制、下载数据的条数。

使用限制

  • 数据源查询权限管控
    数据源查询权限管控的使用限制如下。
    限制类别限制描述
    生效模块目前仅支持对数据分析模块进行权限管控。
    • 标准模式工作空间,仅支持授权使用开发环境的数据源;简单模式的工作空间,所有数据源均需经过授权后才可使用。
    • 目前不支持授权生产环境MaxCompute类型引擎数据源的权限(即绑定MaxCompute引擎时,自动创建的生产环境数据源)。但在数据分析模块中,可通过指定表所在项目的方式去访问生产表,且默认使用当前登录账号查询数据。
    支持的数据源类型目前仅对数据分析支持的数据源类型进行权限管控。
    说明 数据分析支持的数据源类型(包括引擎数据源和自建数据源),详情请参见SQL查询支持的数据源
    角色限制
  • 数据源查询结果的操作权限管控
    数据源查询结果相关操作权限管控的使用限制如下。
    限制类别限制描述
    生效模块目前仅支持对数据分析模块进行权限管控。
    操作限制目前仅支持对展示、复制、下载、分享操作进行权限管控,其中:
    • 展示条数:最大展示10000条,默认10000条。
    • 复制条数:最大复制10000条,默认100条。
    • 下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限
    地域及角色限制
    查询结果管控策略在该租户下当前地域全局生效,并且仅租户管理员租户安全管理员角色权限可编辑管控策略。
    说明

进入数据查询与分析管理

  1. 进入安全中心。
    1. 登录DataWorks控制台
    2. 在左侧导航栏,单击工作空间列表
    3. 选择工作空间所在地域后,单击相应工作空间后的数据开发
    4. 单击左上角的图标图标,选择全部产品 > 数据治理 > 安全中心
  2. 进入数据查询与分析管控
    1. 单击顶部菜单栏的安全策略
    2. 安全策略页面,单击左侧导航栏的数据查询与分析管控
      在数据查询与分析管控页面,您可执行如下操作:

管控数据源的查询权限

说明 如您未创建数据源,请先进入数据源管理页面创建。
您可根据下图步骤,授权某成员或角色,拥有指定工作空间数据分析模块中目标数据源的查询权限。配置要点如下。管控数据源
参数描述
工作空间仅支持选择当前账号为空间管理员的工作空间。选择后,将为您展示该工作空间中所有数据源,您可对数据源执行相应授权操作。
说明 授权用户为工作空间管理员,详情请参见空间级模块权限管控
授权对象需查询的目标数据源,包括绑定引擎后默认生成的引擎数据源及用户自建的数据源。支持的数据源,详情请参见数据源类型
被授权空间角色选择可查询目标数据源的空间角色。
被授权空间成员选择可查询目标数据源的空间成员。
说明 仅支持选择所选工作空间中的成员。添加用户为工作空间成员,详情请参见空间级模块权限管控
查询模块本次授权生效的功能模块。当前仅支持授权某成员或角色,拥有指定数据源在数据分析模块的查询权限。

管控查询结果相关操作

您可对具有数据查询功能的数据分析模块配置查询结果管控策略,确保数据操作的安全可靠。在数据查询与分析管控 > 查询结果管控页签,单击编辑,即可自定义查询结果相关操作(展示、复制、下载、分享)的管控策略,具体如下:
  • 限制是否允许复制、下载、分享结果数据。
  • 限制展示、复制、下载数据的条数。
说明
  • 同一租户不同地域,需单独配置查询结果管控策略。
  • 展示条数:最大展示10000条,默认10000条。
  • 复制条数:最大复制10000条,默认100条。
  • 下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限
管控策略编辑完成后,可在操作列单击查看,查看策略的基本信息。

附录:查看数据源的访问身份

  • 查看引擎数据源访问身份
    您可在工作空间配置 > 计算引擎信息查看目标数据源的访问身份。进入引擎绑定页面,详情请参见进入引擎绑定页面
    数据源类型说明
    MaxCompute数据源查看MaxCompute引擎类型数据源访问身份,在数据分析查询该数据源数据时,默认通过当前任务执行者账号操作。
    示例查看MaxCompute开发数据源的访问身份。查询MC开发环境访问身份
    非MaxCompute数据源当选择为非MaxCompute类型的引擎数据源授权(例如,EMR引擎数据源)时,需根据所选数据源类型,确认生产或开发环境的访问身份。
    示例查看EMR开发及生产数据源的访问身份。查询非MC数据源的访问身份
  • 查看自建数据源访问身份
    您可在工作空间管理 > 数据源管理查看目标数据源的访问身份(即配置的访问数据源的用户信息)。进入数据源管理,详情请参见创建与管理数据源查看自建数据源访问身份

附录:DataWorks各版本下载数据条数上限

DataWorks各版本可设置的下载数据条数上限如下表。
DataWorks版本下载数据条数上限(条)
基础版0
标准版200,000
专业版2000,000
企业版5000,000
说明 版本降级时,可下载的数据条数上限值变化如下:
  • 如降级前的下载数据条数上限值,超过了降级后的下载数据条数最大值,则可下载的数据条数上限值将变更为降级后的下载数据条数最大值。
  • 如降级前的下载数据条数上限值,未超过降级后的下载数据条数最大值,则可下载的数据条数上限值不变。
DataWorks版本的降级,详情请参见版本降级说明