申请与审批权限（部分高级特性）

前提条件

• 权限申请前，已完成空间权限集的配置，请参考配置空间权限集。
• 权限申请前，需要在数据目录组件，对数据连接成功进行过元数据采集，详见元数据采集任务。

约束与限制

• 一个密级下只允许存在一条审批策略，不选密级也只允许存在一条审批策略。
• 创建基于密级的审批策略时，需要满足以下条件：
  • 已开启数据地图组件。
  • 已采集相关密级数据的元数据。
  • 已完成敏感数据发现任务，并将密级信息同步到数据地图。
• 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置待申请数据表中所有列的SELECT权限。
  说明：

  在新版本模式下仅当使用企业版时，才支持按字段粒度申请权限，以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。

• 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。
• 单次申请多个数据表的权限，会拆成多个工单进行审批。
• 当前权限申请和审批模块，仅支持查看当前用户的权限申请与审批记录，不支持权限审计。
• DLI权限申请只支持为用户申请，不支持用户组。
• 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。
• 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。
• 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时，数据源（此处指MRS/DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。

配置审批策略

通过审批策略，您可以设置多级审批流程，或针对不同密级数据的权限申请设置不同的审批流程。

值得注意的是，审批策略为DataArts Studio实例级别配置，各工作空间之间数据互通，全局可见并生效。

1. 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。
2. 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。
3. 在“权限审批”页面，单击“审批策略”进入审批策略页签。单击“新建”，新建一条审批策略。
   图1 创建审批策略
   

4. 在创建策略页面中，参考表1完成审批策略创建，审批节点可通过单击进行新增。
   图2 配置审批策略
   

   表1 审批策略参数说明

   配置项	说明
   基本信息
   *策略名称	配置审批策略名。仅支持中英文、数字和下划线，长度不超过32个字符。
   策略描述	为更好地识别审批策略，此处加以描述信息，长度不能超过255个字符。
   数据密级范围	如果需要针对不同密级数据的权限申请设置不同的审批流程，此处需要选择数据密级。注意，一个密级下只允许存在一条审批策略，不选密级也只允许存在一条审批策略。 选择数据密级的条件为： 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务，并将密级信息同步到数据地图。
   审批节点配置-系统角色/IAM用户/IAM用户组
   审批人类型	选择审批人类型。
   选择角色	根据不同的审批人类型，选择对应的审批人角色。

5. 审批策略填写完成后，单击提交可新建一条审批策略。新建的审批策略默认为关闭状态，如需生效，请在审批策略列表处，单击进行开启。
   图3 审批策略列表
   

申请权限

1. 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。
2. 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。
3. 在“权限审批”页面的权限申请页签，单击“创建权限申请”，创建权限申请工单。
   图4 创建权限申请
   

4. 在权限申请工单页面中，参考表2完成工单填写。
   图5 填写工单
   

   表2 权限申请工单参数说明

   配置项	说明
   基本信息
   *工作空间	选择已配置空间权限集的工作空间。
   *空间权限集	选择空间权限集，空间权限集权限范围应已包含所需资源权限。
   *数据源类型	当前支持Hive、DWS、DLI。
   *集群名称	选择要申请的资源所在的集群。
   *数据连接	选择要申请的资源所在的数据连接。
   资源选择
   *待添加资源	在导航树上选择数据库后，勾选所需的数据表，单次申请时支持选择不同数据库下的表。 说明： 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置所选数据表中所有列的SELECT权限。 在新版本模式下仅当使用企业版时，才支持按字段粒度申请权限，以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。 另外，导航树上的快速模式开启后，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。推荐开启快速模式。
   *已选择资源	在已选择资源列表中可查看所选的表、权限和审批人信息。 说明： 审批人默认来自权限集/角色的管理员。例如，如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限，审批人可以选择为权限集A或角色B管理员；如果只有空间权限集定义了所选数据表中所有列的SELECT权限，审批人为空间权限集的管理员。
   申请信息
   为自己	勾选为自己后，可为自己申请所选择的资源权限。
   空间账号	当在数据开发组件配置调度的公共IAM账号后，可为空间账号申请所选择的资源权限。
   为他人	可选择工作空间内的成员，为其申请所选择的资源权限。
   *申请原因	填写申请原因，便于审批人审视是否应当审批。
   有效期	选择权限有效期支持选择为固定时长（从申请之日开始计算），也可以自定义配置到期时间。不配置表示权限不存在超时时间。 说明： 在新版本模式下仅当使用企业版时，才支持管理权限有效期。旧版本模式使用基础版及更高版本时即可支持。

5. 工单填写完成后，单击提交可生成一条待审批的工单记录。在工单列表处，可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情，并支持撤回未审批的工单。
   图6 工单列表
   

审批权限

1. 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。
2. 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。
3. 在“权限审批”页面，审批人单击“权限审批”进入权限审批页签。
   图7 权限审批
   

4. 在权限审批页签中，工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情。请从业务合理性和数据安全角度审视，确认“通过”或“驳回”该工单，同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。
5. 在权限审批页签中，单击“已审批”，可查看已经审批通过的工单。
   图8 已通过工单列表
   

回收权限

1. 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。
2. 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。
3. 在“权限审批”页面，单击“权限回收”，进入权限回收页签。
   图9 权限回收
   

4. 在权限回收页签中，列表展示指定空间（默认当前空间）下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名，匹配权限记录（支持模糊匹配），然后通过操作栏中的“回收”，删除当前的权限记录。
   仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。

   说明：

   在新版本模式下仅当使用企业版时（旧版本模式使用基础版及更高版本时即可支持），此处才支持进行“变更有效期”操作，详见变更有效期。

   图10 回收权限
   

相关操作

• 编辑审批策略：在审批策略页面，单击对应策略操作栏中的“编辑”，即可修改审批策略各项参数。
• 编辑审批策略状态：新增的审批策略默认为关闭状态。当审批策略为关闭状态时，表示该策略将不生效。

  需要修改审批策略状态时，在审批策略页面单击对应审批策略中的或，即可启用或关闭审批策略。

• 删除审批策略：在审批策略页面，单击对应策略操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选审批策略后，在列表上方单击“批量删除”。
  说明：

  删除操作无法撤销，请谨慎操作。