DataWorks支持授权某角色或成员,在产品模块拥有指定数据源的查询权限;同时,对查询结果可执行的展示、复制、下载、分享等操作进行权限管控,确保数据操作的安全性。本文为您介绍数据查询与分析管控的相关内容。
背景信息
数据查询与分析管控支持对数据源查询和查询结果可执行的展示、复制、下载、分享等操作进行权限管控,具体如下:
数据源查询权限管控
用于对数据源的查询权限进行管控。DataWorks的数据源分为绑定引擎时默认创建的引擎数据源,及在数据源配置界面创建的自建数据源。不同数据源的管控能力说明如下。
数据源类型
默认权限
对数据源查询的权限管控能力
参考文档
引擎数据源
DataWorks绑定引擎时,设置的调度访问身份对应的账号或角色,拥有引擎数据源的访问权限。
您可通过管控数据源的查询权限功能,对其他用户或角色进行授权,授权时应注意:
成员或角色被授权数据源查询权限后,将获得与数据源访问身份同样的权限。为保障数据的安全性(特别是生产数据),建议您合理规划后谨慎分配权限。
标准模式工作空间的开发环境和生产环境需分别绑定引擎,同时会产生不同的数据源,因此您需进入对应环境获取数据源访问身份。
自建数据源
默认创建自建数据源时,配置的访问该数据源的账号,拥有该自建数据源的访问权限。
该功能仅对数据源查询权限进行管控,若要对数据源的读写操作进行权限管控,请参考数据集成任务审批流程。
数据源查询结果的操作权限管控
DataWorks支持对查询结果进行展示、复制、下载、分享等操作,并设置数据分析模块中针对该类操作的管控策略,保障数据的操作安全。具体管控能力说明如下。
默认权限
对查询结果相关操作的权限管控能力
所有用户均拥有展示、复制、下载、分享查询结果的权限。
您可通过管控查询结果相关操作功能,设置权限管控策略:
限制是否允许复制、下载、分享结果数据。
限制展示、复制、下载数据的条数。
使用限制
数据源查询权限管控
数据源查询权限管控的使用限制如下。
限制类别
限制描述
生效模块
目前仅支持对数据分析模块进行权限管控。
标准模式工作空间,仅支持授权使用开发环境的数据源;简单模式的工作空间,所有数据源均需经过授权后才可使用。
目前不支持授权生产环境MaxCompute类型引擎数据源的权限(即绑定MaxCompute引擎时,自动创建的生产环境数据源)。但在数据分析模块中,可通过指定表所在项目的方式去访问生产表,且默认使用当前登录账号查询数据。
支持的数据源类型
目前仅对数据分析支持的数据源类型进行权限管控。
说明数据分析支持的数据源类型(包括引擎数据源和自建数据源),详情请参见SQL查询支持的数据源。
角色限制
租户管理员、租户安全管理员角色权限,可对当前租户下所有工作空间的数据源进行授权。
空间管理员角色权限,仅支持授权用户所管理工作空间中的数据源权限。
数据源查询结果的操作权限管控
数据源查询结果相关操作权限管控的使用限制如下。
限制类别
限制描述
生效模块
目前仅支持对数据分析模块进行权限管控。
操作限制
目前仅支持对展示、复制、下载、分享操作进行权限管控,其中:
展示条数:最大展示10000条,默认10000条。
复制条数:最大复制10000条,默认100条。
下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限。
地域及角色限制
查询结果管控策略在该租户下当前地域全局生效,并且仅租户管理员、租户安全管理员角色权限可编辑管控策略。
说明同一租户不同地域,需单独配置查询结果管控策略。
如需编辑管控策略,可授予用户租户管理员、租户安全管理员角色权限。
进入数据查询与分析管理
进入安全中心。|
登录DataWorks控制台,单击左侧导航栏的,在右侧页面中单击进入安全中心。
进入数据查询与分析管控。
单击顶部菜单栏的安全策略。
在安全策略页面,单击左侧导航栏的数据查询与分析管控。
在数据查询与分析管控页面,您可执行如下操作:
授权某成员或角色在数据分析模块拥有指定数据源的查询权限,详情请参见管控数据源的查询权限。
对查询结果可执行的展示、复制、下载、分享等操作制定管控策略,详情请参见管控查询结果相关操作。
管控数据源的查询权限
如您未创建数据源,请先进入数据源管理页面创建。
您可根据下图步骤,授权某成员或角色,拥有指定工作空间数据分析模块中目标数据源的查询权限。配置要点如下。
参数 | 描述 |
工作空间 | 仅支持选择当前账号为空间管理员的工作空间。选择后,将为您展示该工作空间中所有数据源,您可对数据源执行相应授权操作。 说明 授权用户为工作空间管理员,详情请参见空间级模块权限管控。 |
授权对象 | 需查询的目标数据源,包括绑定引擎后默认生成的引擎数据源及用户自建的数据源。支持的数据源,详情请参见数据源类型。 |
被授权空间角色 | 选择可查询目标数据源的空间角色。 |
被授权空间成员 | 选择可查询目标数据源的空间成员。 说明 仅支持选择所选工作空间中的成员。添加用户为工作空间成员,详情请参见空间级模块权限管控。 |
查询模块 | 本次授权生效的功能模块。当前仅支持授权某成员或角色,拥有指定数据源在数据分析模块的查询权限。 |
管控查询结果相关操作
您可对具有数据查询功能的数据分析模块配置查询结果管控策略,确保数据操作的安全可靠。在页签,单击编辑,即可自定义查询结果相关操作(展示、复制、下载、分享)的管控策略,具体如下:
限制是否允许复制、下载、分享结果数据。
限制展示、复制、下载数据的条数。
同一租户不同地域,需单独配置查询结果管控策略。
展示条数:最大展示10000条,默认10000条。
复制条数:最大复制10000条,默认100条。
下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限。
管控策略编辑完成后,可在操作列单击查看,查看策略的基本信息。
附录:查看数据源的访问身份
查看引擎数据源访问身份
您可在查看目标数据源的访问身份。进入引擎绑定页面,详情请参见进入引擎绑定页面。
数据源类型
说明
MaxCompute数据源
查看MaxCompute引擎类型数据源访问身份,在数据分析查询该数据源数据时,默认通过当前任务执行者账号操作。
示例查看MaxCompute开发数据源的访问身份。
非MaxCompute数据源
当选择为非MaxCompute类型的引擎数据源授权(例如,EMR引擎数据源)时,需根据所选数据源类型,确认生产或开发环境的访问身份。
示例查看EMR开发及生产数据源的访问身份。
查看自建数据源访问身份
您可在查看目标数据源的访问身份(即配置的访问数据源的用户信息)。进入数据源管理,详情请参见创建与管理数据源。
附录:DataWorks各版本下载数据条数上限
DataWorks各版本可设置的下载数据条数上限如下表。
DataWorks版本 | 下载数据条数上限(条) |
基础版 | 0 |
标准版 | 200,000 |
专业版 | 2000,000 |
企业版 | 5000,000 |
版本降级时,可下载的数据条数上限值变化如下:
如降级前的下载数据条数上限值,超过了降级后的下载数据条数最大值,则可下载的数据条数上限值将变更为降级后的下载数据条数最大值。
如降级前的下载数据条数上限值,未超过降级后的下载数据条数最大值,则可下载的数据条数上限值不变。
DataWorks版本的降级,详情请参见版本降级说明。