文档首页> 数据治理中心 DataArts Studio> 用户指南> 数据安全组件> 统一权限治理> 申请与审批权限
更新时间:2024-04-03 GMT+08:00
查看PDF

申请与审批权限

进行访问权限管理时,除了可以自上而下地通过权限集/角色方式为用户授权外,也支持自下而上的用户权限申请、审批流程。

本章主要描述如何申请者如何申请权限,以及审批者如何审批权限回收权限

前提条件

  • 权限申请前,已完成空间权限集的配置,请参考配置空间权限集
  • 权限申请前,需要在数据目录组件,对数据连接成功进行过元数据采集,详见元数据采集任务

约束与限制

  • 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置待申请数据表中所有列的SELECT权限。
  • 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。
  • 单次申请多个数据表的权限,会拆成多个工单进行审批。
  • 当前权限申请和审批模块,仅支持查看当前用户的权限申请与审批记录,不支持权限审计。
  • DLI权限申请只支持为用户申请,不支持用户组。
  • 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考准备工作1:授权dlg_agency委托
  • 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明
  • 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用权限应用,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。

申请权限

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图1 选择数据安全

  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面的权限申请页签,单击“创建权限申请”,创建权限申请工单。

    图2 创建权限申请

  4. 在权限申请工单页面中,参考表1完成工单填写。

    图3 填写工单

    表1 权限申请工单参数说明

    配置项

    说明

    基本信息

    *工作空间

    选择已配置空间权限集的工作空间。

    *空间权限集

    选择空间权限集,空间权限集权限范围应已包含所需资源权限。

    *数据源类型

    当前支持Hive、DWS、DLI。

    *集群名称

    选择要申请的资源所在的集群。

    *数据连接

    选择要申请的资源所在的数据连接。

    资源选择

    *待添加资源

    在导航树上选择数据库后,勾选所需的数据表,单次申请时支持选择不同数据库下的表。

    说明:

    当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置所选数据表中所有列的SELECT权限。

    另外,导航树上的快速模式开启后,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。推荐开启快速模式。

    *已选择资源

    在已选择资源列表中可查看所选的表、权限和审批人信息。

    说明:

    审批人来自权限集/角色的管理员。例如,如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限,审批人可以选择为权限集A或角色B管理员;如果只有空间权限集定义了所选数据表中所有列的SELECT权限,审批人为空间权限集的管理员。

    申请信息

    为自己

    勾选为自己后,可为自己申请所选择的资源权限。

    空间账号

    当在数据开发组件配置调度的公共IAM账号后,可为空间账号申请所选择的资源权限。

    为他人

    可选择工作空间内的成员,为其申请所选择的资源权限。

    *申请原因

    填写申请原因,便于审批人审视是否应当审批。

  5. 工单填写完成后,单击提交可生成一条待审批的工单记录。在工单列表处,可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情,并支持撤回未审批的工单。

    图4 工单列表

审批权限

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图5 选择数据安全

  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面,审批人单击“权限审批”进入权限审批页签。

    图6 权限审批

  4. 在权限审批页签中,工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情。请从业务合理性和数据安全角度审视,确认“通过”或“驳回”该工单,同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。
  5. 在权限审批页签中,单击“已审批”,可查看已经审批通过的工单。

    图7 已通过工单列表

回收权限

  1. DataArts Studio控制台首页,选择实例,单击“进入控制台”,选择对应工作空间的“数据安全”模块,进入数据安全页面。

    图8 选择数据安全

  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面,单击“权限回收”,进入权限回收页签。

    图9 权限回收

  4. 在权限回收页签中,列表展示指定空间(默认当前空间)下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名,匹配权限记录(支持模糊匹配),然后通过操作栏中的“回收”,删除当前的权限记录。

    仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。
    图10 回收权限

父主题: 统一权限治理