功能概述
数据访问控制是DataWorks安全中心提供的多引擎数据权限申请-审批-审计闭环入口。面向申请人、审批人、审计人三类角色,覆盖MaxCompute、Hologres、Data Lake Formation(DLF)、数据湖构建(DLF-Legacy)、Hive(EMR)、Lindorm、StarRocks共7类引擎的资产权限管控。
入口路径:DataWorks控制台 → 数据治理 → 安全中心 → 数据平台安全 → 数据访问控制。
页面结构
数据访问控制页包含以下6个页签(部分页签的可见性按引擎与是否开通对应能力变化):
页签 |
说明 |
权限申请 |
用户向所属引擎的数据资产(表、库、字段、资源、函数)发起权限申请,提交后进入审批流。 |
主动授权 |
管理员直接将一组资源权限授予指定的RAM子账号或RAM角色,无需审批流。详见下文「主动授权」节。 |
权限审批 |
审批人对收到的权限申请单进行同意或拒绝。该入口未来将迁移至「申请与审批 > 我的审批任务」页面。 |
权限申请记录 |
查看当前账号提交的所有权限申请记录。该入口未来将迁移至「申请与审批 > 我的申请单」页面。 |
权限审批记录 |
该入口已下线。如需查看权限审批记录,请前往「申请与审批 > 我的审批任务」,将任务状态切换为「全部」。 |
权限审计 |
查看与回收用户拥有的数据权限。当前仅支持MaxCompute引擎。 |
6引擎差异总览
不同引擎在申请粒度、主动授权对象、权限有效期、续期、权限审计等能力上存在差异。下表给出快速对照(实际可见引擎以工作空间已开通的引擎与后端权限为准):
引擎 |
申请粒度 |
主动授权 |
权限有效期 |
续期 |
撤回 |
权限审计 |
MaxCompute |
表 / 资源 / 函数(表支持列级) |
支持 |
1/3/6/12个月、永久、自定义 |
支持 |
支持 |
支持 |
Hologres |
表(库下挂表) |
支持(仅RAM子账号) |
仅永久 |
不支持 |
支持 |
不支持 |
Data Lake Formation(DLF) |
元数据库 / 表 / 字段 |
支持 |
仅永久 |
不支持 |
支持 |
不支持 |
数据湖构建(DLF-Legacy) |
Catalog / Schema / Table / Column |
支持 |
自定义时长 |
支持 |
支持 |
不支持 |
Hive(EMR) |
库 / 表 |
支持(仅 RAM 子账号) |
仅永久 |
不支持 |
支持 |
不支持 |
Lindorm |
表 |
支持(仅 RAM 子账号) |
仅永久 |
不支持 |
支持 |
不支持 |
StarRocks |
数据库 / 表 |
支持 |
仅永久 |
不支持 |
支持 |
不支持 |
续期、撤回的可用前提为:续期仅对「已通过」的申请生效;撤回仅对「审批中」的申请生效。各引擎差异由后端策略决定,最终能力以页面实际可见为准。
主动授权
主动授权是与「权限申请」并列的独立Tab,允许管理员(通常是空间管理员或具备授权能力的RAM用户)直接将一组资源权限授予指定的RAM子账号或RAM角色,无需走审批流。授权成功后立即生效。
-
入口:在「数据访问控制」页面选择主动授权页签。
-
授权对象:支持RAM子账号或RAM角色。RAM角色是否可被授权取决于资源类型:部分引擎或资源类型仅支持RAM子账号,此时RAM角色下拉项会置灰并提示「该资源类型仅支持RAM子账号授权」。例如Hologres引擎主动授权仅支持RAM子账号。
-
配置项:与「权限申请」相同,先选择申请内容(数据源类型、工作空间、项目、表等),再配置授权信息:
授权对象类型:RAM子账号 / RAM角色。
授权对象:根据所选类型选择具体的RAM子账号或RAM角色。
权限有效期:与权限申请的有效期一致;Hologres引擎强制为永久并隐藏该项。
授权理由:非必填。
-
提交:单击确认授权立即写入权限。表单成功后自动清空,不跳转页面。
-
与权限申请的差异:主动授权不走审批流,因此不会在「我的申请单」中产生记录;授权理由非必填;不显示「申请账号类型」选项。
-
操作归属:相关授权记录在审计与后台日志中会归属于当前登录账号,请确保使用合适的账号执行授权操作。
分引擎使用指南
不同引擎的权限申请、审批、配置流程存在差异,详细操作请参见对应引擎文档: