本文通过一个简单示例,为您介绍不同角色的用户如何使用安全中心的各项功能。
前提条件
使用安全中心前请注意以下事项:- 字段级别授权与LabelSecurity
未开启LabelSecurity机制的工作空间将无法进行字段级别的授权,只能进行整表授权,同时无法在申请时设置有效期。LabelSecurity的详情请参见Label权限控制。
- 权限有效期
为保证字段级别的授权在有效期正常运行,除开启LabelSecurity外,还请务必保证各字段的LabelSecurity大于账号的LabelSecurity。
如果部分字段的LabelSecurity为空或不大于账号的LabelSecurity,虽然在账号申请该表权限时可以选择有效期,但申请审批通过后,将自动获取这部分字段的权限,同时有效期为永久,并且无法单独交还/回收这部分字段权限。
- 申请及展示权限
目前安全中心仅展示通过ACL授权方式所获取的权限,不展示通过用户角色等其它方式获取的权限。例如,作为项目开发角色的账号可以访问项目中所有的表,但在安全中心中,并不显示对项目中的表具有权限。当发现安全中心未展示具有权限但实际可以访问的情况,请与系统管理员确认是否通过用户角色等其它方式获取了相应权限。
背景信息
不同角色的用户拥有的权限如下:- 子账号-普通用户
- 我的权限:支持查看权限、申请权限、交还操作权限和交还字段权限等操作。
- 我的申请:支持查看申请单进度和查看历史申请等操作。
- 子账号-表Owner
- 我的权限:支持查看权限、申请自己不是表Owner的表权限、交还自己不是表Owner的表操作权限、交还自己不是表Owner的表字段权限等操作。
- 我的申请:支持查看申请单进度和历史申请。
- 待我审批:支持审批等待自己处理的申请单。
- 我已审批:支持查看自己处理过的申请单。
- 子账号-项目管理员
- 权限审计:支持查看项目成员和回收成员权限等操作。
- 我的申请:支持查看申请单进度和历史申请。
- 待我审批:支持审批等待自己处理的申请单。
- 我已审批:支持查看自己处理过的申请单。
- 主账号
- 权限审计:支持查看项目成员和回收成员权限等操作。
- 我的申请:支持查看申请单进度和查看历史申请等操作。
- 待我审批:支持审批等待自己处理的申请单。
- 我已审批:支持查看自己处理过的申请单。
本示例的角色分类有:普通用户、表Owner和项目管理员。
本示例需要实现以下需求:
- 子账号甲作为普通用户查看自己当前具有的权限。
- 子账号甲申请A、B这两张目前无权限的数据表的权限。
- 子账号乙作为A表的表Owner进行审批,通过A表申请。
- 主账号作为项目管理员进行审批,通过B表申请。
- 子账号甲无需使用A表部分字段,交还部分字段权限。
- 子账号甲不再需要使用A表,交还A表权限。
- 主账号回收子账号甲B表的权限。
进入安全中心
- 登录DataWorks控制台。
- 在左侧导航栏,单击工作空间列表。
- 选择工作空间所在地域后,单击相应工作空间后的数据开发。
- 单击左上角的图标,选择 。
普通用户
- 子账号甲(普通用户角色)查看自己在项目中的权限。
- 子账号甲进入安全中心,默认是我的权限页面。
- 在我的权限页面,选择工作空间和环境,查看该工作空间对应环境下的表, 以及自己对哪些表拥有权限。
- 子账号甲(普通用户角色)申请A、B两张表的权限。
- 子账号甲进入安全中心,默认是我的权限页面。
- 选中A、B两张表需要申请权限的字段,单击申请权限。
- 在表权限申请对话框中,配置各项参数。
- 单击提交。
- 子账号甲(普通用户角色)等待审批人审批通过。
- 子账号甲进入安全中心。
- 在左侧导航栏,单击审批中心。
- 在我的申请页签,查看子账号提交的申请的审批状态。
当审批状态为审批通过时,代表已具有相应的表权限,可以进行相关操作。
- 子账号甲(普通用户角色)交还A表部分字段的权限。
- 子账号甲进入安全中心,默认是我的权限页面。
- 在表权限页签,单击A表操作栏中的查看,选择交还字段权限。
- 在交还字段权限对话框,选中需要交还的字段。
- 单击确定。
- 子账号甲(普通用户角色)交还A表操作权限。
- 子账号甲进入安全中心,默认是我的权限页面。
- 在表权限页签,单击A表操作栏中的查看,选择交还操作权限。
- 在交还操作权限对话框,选中需要交还的权限。
- 单击确定。
表Owner
子账号乙作为A表的表Owner进行审批,通过A表的申请。
子账号乙作为表Owner,除可以使用子账号甲作为普通用户的功能外,还可以进行自己作为表Owner的相关表的审批。
- 子账号乙进入安全中心。
- 在左侧导航栏,单击审批中心。
- 单击待我审批页签。
- 单击子账号甲提交的申请单后的审批,进入申请单详情页面查看审批记录和申请内容。
- 填写审批意见,并根据自身需求,单击同意或拒绝。
项目管理员
- 主账号作为项目管理员进行审批,通过B表申请。
- 主账号进入安全中心。
- 在左侧导航栏,单击审批中心。
- 单击待我审批页签。
- 单击子账号刚刚提交的申请单后的审批,进入申请单详情页面查看审批记录和申请内容。
- 填写审批意见,并根据自身需求,单击同意或拒绝。
- 主账号回收子账号B表的权限
- 主账号进入安全中心。
- 在左侧导航栏,单击权限审计。
- 找到子账号的B表,单击表名称前面的图标,展开表详情。
- 单击子账号操作栏中的回收操作权限。
- 在回收操作权限对话框,选中需要回收的权限。
- 单击确定,回收该账号拥有的当前数据表的权限。