全部产品
Search
文档中心

大数据开发治理平台 DataWorks:数据访问控制

更新时间:Jun 30, 2026

功能概述

数据访问控制是DataWorks安全中心提供的多引擎数据权限申请-审批-审计闭环入口。面向申请人审批人审计人三类角色,覆盖MaxCompute、Hologres、Data Lake Formation(DLF)、数据湖构建(DLF-Legacy)、Hive(EMR)、Lindorm、StarRocks共7类引擎的资产权限管控。

入口路径DataWorks控制台 → 数据治理 → 安全中心 → 数据平台安全 → 数据访问控制

页面结构

数据访问控制页包含以下6个页签(部分页签的可见性按引擎与是否开通对应能力变化):

页签

说明

权限申请

用户向所属引擎的数据资产(表、库、字段、资源、函数)发起权限申请,提交后进入审批流。

主动授权

管理员直接将一组资源权限授予指定的RAM子账号或RAM角色,无需审批流。详见下文「主动授权」节。

权限审批

审批人对收到的权限申请单进行同意或拒绝。该入口未来将迁移至「申请与审批 > 我的审批任务」页面。

权限申请记录

查看当前账号提交的所有权限申请记录。该入口未来将迁移至「申请与审批 > 我的申请单」页面。

权限审批记录

该入口已下线。如需查看权限审批记录,请前往「申请与审批 > 我的审批任务」,将任务状态切换为「全部」。

权限审计

查看与回收用户拥有的数据权限。当前仅支持MaxCompute引擎

6引擎差异总览

不同引擎在申请粒度、主动授权对象、权限有效期、续期、权限审计等能力上存在差异。下表给出快速对照(实际可见引擎以工作空间已开通的引擎与后端权限为准):

引擎

申请粒度

主动授权

权限有效期

续期

撤回

权限审计

MaxCompute

表 / 资源 / 函数(表支持列级)

支持

1/3/6/12个月、永久、自定义

支持

支持

支持

Hologres

表(库下挂表)

支持(仅RAM子账号)

仅永久

不支持

支持

不支持

Data Lake Formation(DLF)

元数据库 / 表 / 字段

支持

仅永久

不支持

支持

不支持

数据湖构建(DLF-Legacy)

Catalog / Schema / Table / Column

支持

自定义时长

支持

支持

不支持

Hive(EMR)

库 / 表

支持(仅 RAM 子账号)

仅永久

不支持

支持

不支持

Lindorm

支持(仅 RAM 子账号)

仅永久

不支持

支持

不支持

StarRocks

数据库 / 表

支持

仅永久

不支持

支持

不支持

说明

续期、撤回的可用前提为:续期仅对「已通过」的申请生效;撤回仅对「审批中」的申请生效。各引擎差异由后端策略决定,最终能力以页面实际可见为准。

主动授权

主动授权是与「权限申请」并列的独立Tab,允许管理员(通常是空间管理员或具备授权能力的RAM用户)直接将一组资源权限授予指定的RAM子账号或RAM角色,无需走审批流。授权成功后立即生效。

  • 入口:在「数据访问控制」页面选择主动授权页签。

  • 授权对象:支持RAM子账号或RAM角色。RAM角色是否可被授权取决于资源类型:部分引擎或资源类型仅支持RAM子账号,此时RAM角色下拉项会置灰并提示「该资源类型仅支持RAM子账号授权」。例如Hologres引擎主动授权仅支持RAM子账号。

  • 配置项:与「权限申请」相同,先选择申请内容(数据源类型、工作空间、项目、表等),再配置授权信息:

    • 授权对象类型:RAM子账号 / RAM角色。

    • 授权对象:根据所选类型选择具体的RAM子账号或RAM角色。

    • 权限有效期:与权限申请的有效期一致;Hologres引擎强制为永久并隐藏该项。

    • 授权理由:非必填。

  • 提交:单击确认授权立即写入权限。表单成功后自动清空,不跳转页面

  • 与权限申请的差异:主动授权不走审批流,因此不会在「我的申请单」中产生记录;授权理由非必填;不显示「申请账号类型」选项。

  • 操作归属:相关授权记录在审计与后台日志中会归属于当前登录账号,请确保使用合适的账号执行授权操作。

分引擎使用指南

不同引擎的权限申请、审批、配置流程存在差异,详细操作请参见对应引擎文档: