申请与审批权限(部分高级特性)
进行访问权限管理时,除了可以自上而下地通过权限集/角色方式为用户授权外,也支持自下而上的用户权限申请、审批流程。
本章主要描述如何配置审批策略,申请者如何申请权限,以及审批者如何审批权限和回收权限。
在新版本模式下仅当使用企业版时,才支持按字段粒度申请权限,以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。
约束与限制
- 一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。
- 创建基于密级的审批策略时,需要满足以下条件:
- 已开启数据地图组件。
- 已采集相关密级数据的元数据。
- 已完成敏感数据发现任务,并将密级信息同步到数据地图。
- 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置待申请数据表中所有列的SELECT权限。
在新版本模式下仅当使用企业版时,才支持按字段粒度申请权限,以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。
- 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。
- 单次申请多个数据表的权限,会拆成多个工单进行审批。
- 当前权限申请和审批模块,仅支持查看当前用户的权限申请与审批记录,不支持权限审计。
- DLI权限申请只支持为用户申请,不支持用户组。
- 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。
- 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。
- 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
配置审批策略
通过审批策略,您可以设置多级审批流程,或针对不同密级数据的权限申请设置不同的审批流程。
值得注意的是,审批策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的,进入权限审批页面。
- 在页面,单击“审批策略”进入审批策略页签。单击“新建”,新建一条审批策略。
图1 创建审批策略
- 在创建策略页面中,参考表1完成审批策略创建,审批节点可通过单击
进行新增。
图2 配置审批策略
表1 审批策略参数说明 配置项
说明
基本信息
*策略名称
配置审批策略名。仅支持中英文、数字和下划线,长度不超过32个字符。
策略描述
为更好地识别审批策略,此处加以描述信息,长度不能超过255个字符。
数据密级范围
如果需要针对不同密级数据的权限申请设置不同的审批流程,此处需要选择数据密级。注意,一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。
选择数据密级的条件为:
- 已开启数据地图组件。
- 已采集相关密级数据的元数据。
- 已完成敏感数据发现任务,并将密级信息同步到数据地图。
审批节点配置-系统角色/IAM用户/IAM用户组
审批人类型
选择审批人类型。
选择角色
根据不同的审批人类型,选择对应的审批人角色。
- 审批策略填写完成后,单击提交可新建一条审批策略。新建的审批策略默认为关闭状态,如需生效,请在审批策略列表处,单击
进行开启。
图3 审批策略列表
申请权限
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的,进入权限审批页面。
- 在页面的权限申请页签,单击“创建权限申请”,创建权限申请工单。
图4 创建权限申请
- 在权限申请工单页面中,参考表2完成工单填写。
图5 填写工单
表2 权限申请工单参数说明 配置项
说明
基本信息
*工作空间
选择已配置空间权限集的工作空间。
*空间权限集
选择空间权限集,空间权限集权限范围应已包含所需资源权限。
*数据源类型
当前支持Hive、DWS、DLI。
*集群名称
选择要申请的资源所在的集群。
*数据连接
选择要申请的资源所在的数据连接。
资源选择
*待添加资源
在导航树上选择数据库后,勾选所需的数据表,单次申请时支持选择不同数据库下的表。
说明:另外,导航树上的快速模式开启后,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。推荐开启快速模式。
*已选择资源
在已选择资源列表中可查看所选的表、权限和审批人信息。
说明:审批人默认来自权限集/角色的管理员。例如,如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限,审批人可以选择为权限集A或角色B管理员;如果只有空间权限集定义了所选数据表中所有列的SELECT权限,审批人为空间权限集的管理员。
申请信息
为自己
勾选为自己后,可为自己申请所选择的资源权限。
空间账号
当在数据开发组件配置调度的公共IAM账号后,可为空间账号申请所选择的资源权限。
为他人
可选择工作空间内的成员,为其申请所选择的资源权限。
*申请原因
填写申请原因,便于审批人审视是否应当审批。
有效期
选择权限有效期支持选择为固定时长(从申请之日开始计算),也可以自定义配置到期时间。不配置表示权限不存在超时时间。
说明:在新版本模式下仅当使用企业版时,才支持管理权限有效期。旧版本模式使用基础版及更高版本时即可支持。
- 工单填写完成后,单击提交可生成一条待审批的工单记录。在工单列表处,可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情,并支持撤回未审批的工单。
图6 工单列表
审批权限
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的,进入权限审批页面。
- 在页面,审批人单击“权限审批”进入权限审批页签。
图7 权限审批
- 在权限审批页签中,工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情。请从业务合理性和数据安全角度审视,确认“通过”或“驳回”该工单,同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。
- 在权限审批页签中,单击“已审批”,可查看已经审批通过的工单。
图8 已通过工单列表
回收权限
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击数据安全左侧导航树中的,进入权限审批页面。
- 在页面,单击“权限回收”,进入权限回收页签。
图9 权限回收
- 在权限回收页签中,列表展示指定空间(默认当前空间)下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名,匹配权限记录(支持模糊匹配),然后通过操作栏中的“回收”,删除当前的权限记录。
仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。图10 回收权限
