DataWorks支持工作空间角色或成员使用指定的身份访问数据源,并对查询结果的展示、复制、下载、分享等操作进行权限管控,以确保数据操作的安全性。本文为您介绍数据查询与分析管控的相关内容。
背景信息
DataWorks数据分析的用户使用指定身份执行任务(例如:数据源的默认访问身份为用户名/密码、指定的RAM用户或RAM角色)时,需要经过安全中心授权才拥有对数据源的访问权限。如果用户使用登录者的身份访问数据源,则无需安全中心授权。
数据查询与分析管控支持对数据源查询和查询结果可执行的展示、复制、下载、分享等操作进行权限管控,具体如下:
数据源查询权限管控
用于对数据源的查询权限进行管控。
您可通过管控数据源的查询权限功能,对其他用户或角色进行授权,授权时应注意:
成员或角色被授权数据源查询权限后,将使用数据源访问身份指定的RAM用户/RAM角色访问数据源。为保障数据的安全性(特别是生产数据),建议您合理规划后谨慎分配权限。
标准模式工作空间的开发环境和生产环境需分别管理数据源查询权限。
说明更多参考,请参见:附录:查看数据源的访问身份、工作空间模式差异、数据源环境介绍。
该功能仅对数据源查询权限进行管控,若要对数据源的读写操作进行权限管控,请参考数据集成任务审批流程。
数据源查询结果的操作权限管控
DataWorks数据分析支持对查询结果进行展示、复制、下载、分享等操作,您需要设置相应的管控策略,保障数据操作的安全性。
默认权限
对数据分析查询结果的操作管控
所有用户均拥有展示、复制、下载、分享查询结果的权限。
您可通过管控数据分析查询结果相关操作功能,设置权限管控策略:
限制是否允许复制、下载、分享结果数据。
限制展示、复制、下载数据的条数。
使用限制
数据源查询权限管控
数据源查询权限管控的使用限制如下。
限制类别
限制描述
生效模块
仅支持对数据分析模块进行权限管控。
支持的数据源类型
仅对数据分析支持的数据源类型进行权限管控。
说明数据分析支持的数据源类型,详情请参见SQL查询支持的数据源。
角色限制
租户管理员、租户安全管理员角色权限,可对当前租户下所有工作空间的数据源进行授权。
空间管理员角色权限,仅支持授权用户所管理工作空间中的数据源权限。
数据源查询结果的操作权限管控
数据源查询结果相关操作权限管控的使用限制如下。
限制类别
限制描述
生效模块
仅支持对数据分析模块进行权限管控。
操作限制
仅支持对展示、复制、下载、分享操作进行权限管控,其中:
展示条数:最大展示10000条,默认10000条。
复制条数:最大复制10000条,默认100条。
下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限。
地域及角色限制
查询结果管控策略在该租户下当前地域全局生效,并且仅租户管理员、租户安全管理员角色权限可编辑管控策略。
说明同一租户不同地域,需单独配置查询结果管控策略。
如需编辑管控策略,可授予用户租户管理员、租户安全管理员角色权限。
进入数据查询与分析管理
进入安全中心。
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
在左侧导航栏单击。
在数据查询与分析管控页面,您可执行如下操作:
授权某成员或角色在数据分析模块拥有指定数据源的查询权限,详情请参见管控数据源的查询权限。
对查询结果可执行的展示、复制、下载、分享等操作制定管控策略,详情请参见管控数据分析查询结果相关操作。
管控数据源的查询权限
如您未创建数据源,请先进入数据源管理页面创建。
您可根据下图步骤,授权某成员或角色,拥有指定工作空间数据分析模块中目标数据源的查询权限。配置要点如下。
参数 | 描述 |
工作空间 | 仅支持选择当前账号为空间管理员的工作空间。选择后,将为您展示该工作空间中所有数据源,您可对数据源执行相应授权操作。 说明 授权用户为工作空间管理员,详情请参见空间级模块权限管控。 |
授权对象 | 需查询的目标数据源。支持的数据源,详情请参见数据源类型。 |
被授权空间角色 | 选择可查询目标数据源的空间角色。 |
被授权空间成员 | 选择可查询目标数据源的空间成员。 说明 仅支持选择所选工作空间中的成员。添加用户为工作空间成员,详情请参见空间级模块权限管控。 |
查询模块 | 本次授权生效的功能模块。当前仅支持授权某成员或角色,拥有指定数据源在数据分析模块的查询权限。 |
管控数据分析查询结果相关操作
您可对具有数据查询功能的数据分析模块配置查询结果管控策略,确保数据操作的安全可靠。在页签,单击编辑,即可自定义数据分析查询结果相关操作(展示、复制、下载、分享)的管控策略,具体如下:
限制是否允许复制、下载、分享结果数据。
限制展示、复制、下载数据的条数。
同一租户不同地域,需单独配置查询结果管控策略。
展示条数:最大展示10000条,默认10000条。
复制条数:最大复制10000条,默认100条。
下载条数:不同DataWorks版本支持的下载数据条数上限存在差异,详情请参见附录:DataWorks各版本下载数据条数上限。
管控策略编辑完成后,可在操作列单击查看,查看策略的基本信息。
附录:查看数据源的访问身份
进入管理中心页面。
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在下拉框中选择对应工作空间后单击进入管理中心。
根据数据源类型不同,进入对应路径查看。
如果数据源为EMR、CDH/CDP集群:在左侧导航栏,单击集群管理,查看对应集群的默认访问身份。
其他数据源:在左侧导航栏,单击,找到目标数据源,单击操作列的编辑,查看默认访问身份或用户名。
附录:DataWorks各版本下载数据条数上限
此为DataWorks支持的下载数据条数上限,不代表您的实际下载数据条数上限。实际下载条数上限取决于DataWorks版本和数据源内部限制。
当前仅MaxCompute、EMR引擎数据支持下载导出本地文件。
例如,您使用的是标准版 DataWorks(上限为
20万条),但18万条就达到数据量上限1GB,那将仅限于下载1GB的数据。更多说明请参见导出为本地文件。
DataWorks版本 | 下载数据条数上限(条) | 下载数据量上限 |
基础版 | 0 | / |
标准版 |
|
重要 当数据量超过 |
专业版 |
| |
企业版 |
|
版本降级时,可下载的数据条数上限值变化如下:
如降级前的下载数据条数上限值,超过了降级后的下载数据条数最大值,则可下载的数据条数上限值将变更为降级后的下载数据条数最大值。
如降级前的下载数据条数上限值,未超过降级后的下载数据条数最大值,则可下载的数据条数上限值不变。