配置空间权限集
在数据访问权限管理的实际场景下,通常会有一级部门、二级部门、三级部门等多级权限的划分。为此,数据安全组件提供了自上而下分层式的数据权限管理方式。您可以通过空间权限集配置工作空间内的最大权限,在此基础上,将其向下拆分出新的子权限集,提供进一步的细分权限管理。
空间权限集作为DataArts Studio工作空间内的最大权限集合,由DAYU Administrator、Tenant Administrator或者数据安全管理员创建,它限定了整个工作空间用户可访问的权限范围。在空间权限集之下定义的权限集,权限范围只能是空间权限集的子集。
- 空间权限集是没有父权限集的顶层权限集,一般每个工作空间下创建一个即可;而权限集必须关联一个空间权限集或其他权限集作为其父权限集,可以新建多个,用于给不同使用场景的用户关联不同的权限。
- 空间权限集主要用于确定工作空间权限范围,而权限集主要用于权限管控。即空间权限集一般无需进行权限同步,且不支持为空间权限集关联角色;而权限集可通过权限同步进行权限管控(实际使用时,更推荐通过权限集关联角色进行权限管控)。
本章主要描述如何通过创建空间权限集和配置空间权限集定义工作空间权限范围。
前提条件
- 配置权限集前,已在管理中心创建数据仓库服务(DWS)、数据湖探索(DLI)、MapReduce服务(MRS Hive)和MapReduce服务(MRS Ranger)类型的数据连接,请参考创建DataArts Studio数据连接。
- 配置权限集前,已参考授权dlg_agency委托为dlg_agency委托配置权限。
- 配置权限集前,已参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。
- 如果希望在权限配置时能够展示数据连接中数据库、表以及字段等元数据提示信息,则需要在数据目录组件,对数据表成功进行过元数据采集,详见元数据采集任务。
约束与限制
- 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或同步空间权限集,权限集管理员支持同步空间权限集,其他普通用户无权限操作。
- 当前通过空间权限集定义权限时,仅支持DLI、MRS Hive和DWS数据源。
- 空间权限集配置完成后,权限管控并不会直接生效,而是需要将空间权限集手动同步到数据源后,权限管控才能生效。
由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。如果需要同步,则需注意以下限制:
- 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。
- DLI权限集同步时会将权限由IAM创建自定义策略绑定到用户/用户组中。IAM最多可创建自定义策略200条,同步前请确保配额充足。
- 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。
- 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。
-
空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。
- 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
创建空间权限集
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的 ,进入空间权限集页面。
- 在
页面单击“新建”,创建权限集。图1 创建空间权限集
- 新建空间权限集配置请参考表1,参数配置完成单击“确定”即可。
表1 新建空间权限集参数设置 参数名
参数设置
*权限集名称
标识权限集,实例下唯一。
建议名称中包含含义,避免无意义的描述,以便于快速识别所需权限集。
*管理员
选择管理员。当前权限集管理员支持最多选2个,且管理员类型必须同为用户或者用户组。
管理员为当前权限集的负责人,具有配置当前权限集内权限的能力。管理员职能范围:- 权限配置:为权限集分配数据源权限。
- 用户配置:将当前集合内权限分配给用户、用户组或工作空间角色。
- 创建权限集:基于当前权限集新建权限集和角色,新建权限集的权限不会大于当前权限集。
描述
为更好地识别权限集,此处加以描述信息。
图2 创建空间权限集配置
配置空间权限集
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的 ,进入空间权限集页面。
- 在
页面,找到需要配置的空间权限集,单击权限集名称进入详情页面。图3 进入空间权限集详情
- 基本信息:在空间权限集详情页面,基本信息区域可以查看空间权限集名称、ID、管理员等信息,详见图4。
- 权限配置:在权限集详情页面,权限配置页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。
- 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持MRS数据源。
图5 数据视角权限配置
配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。
数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。图6 数据视角授权
- 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。
配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。
- 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。
例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。
- 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。
- MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限:
- 创建库:write
- 权限创建表/写入数据/删除表:read权限
配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。图7 权限视角权限配置
- 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。
- 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持MRS数据源。
- 用户配置:在权限集详情页面,单击“用户配置”进入用户配置页签。
用户配置的含义即为将权限配置中定义的数据权限,与此处的用户绑定起来。您可以单击“添加”,按照用户或用户组(当前暂不支持选择“工作空间角色”)的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。图8 用户配置
- 子权限集:在权限集详情页面,单击“子权限集”进入子权限集页签。
在子权限集页签,您可以查看到当前权限集下的子权限集。图9 查看子权限集
- 日志:在权限集详情页面,单击“日志”进入日志页签。
在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。图10 查看日志
- 权限集配置完成后,权限管控并不会直接生效。需要您手动将权限同步到数据源中,同步成功后权限管控才能生效,详见同步权限集。
实际上,由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。
相关操作
- 同步空间权限集:空间权限集需要手动同步到数据源中权限管控才能生效。但由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,推荐通过配置角色进行权限管控。
如需同步空间权限集,则在空间权限集页面,单击列表中对应权限集操作栏中的“同步”,即可将权限集同步至数据源。当需要批量同步时,可以在勾选权限集后,在列表上方单击“同步”。
- 编辑空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“编辑”,即可修改权限集名称、管理员、描述信息。
- 删除空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“删除”,在弹窗中再次确认后,即可删除权限集。当需要批量删除时,可以在勾选权限集后,在列表上方单击“删除”。
注意,已配置权限、用户或有子权限集的空间权限集不可删除。如需删除应先清理空间权限集的相关配置。
空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。