更新时间:2025-02-27 GMT+08:00

申请与审批权限(部分高级特性)

进行访问权限管理时,除了可以自上而下地通过权限集/角色方式为用户授权外,也支持自下而上的用户权限申请、审批流程。

本章主要描述如何配置审批策略,申请者如何申请权限,以及审批者如何审批权限回收权限

在新版本模式下仅当使用企业版时,才支持按字段粒度申请权限,以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。

前提条件

  • 权限申请前,已完成空间权限集的配置,请参考配置空间权限集
  • 权限申请前,需要在数据目录组件,对数据连接成功进行过元数据采集,详见元数据采集任务

约束与限制

  • 一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。
  • 创建基于密级的审批策略时,需要满足以下条件:
    • 已开启数据地图组件。
    • 已采集相关密级数据的元数据。
    • 已完成敏感数据发现任务,并将密级信息同步到数据地图。
  • 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置待申请数据表中所有列的SELECT权限。

    在新版本模式下仅当使用企业版时,才支持按字段粒度申请权限,以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。

  • DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。
  • 单次申请多个数据表的权限,会拆成多个工单进行审批。
  • 当前权限申请和审批模块,仅支持查看当前用户的权限申请与审批记录,不支持权限审计。
  • DLI权限申请只支持为用户申请,不支持用户组。
  • 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托
  • 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明
  • 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。

配置审批策略

通过审批策略,您可以设置多级审批流程,或针对不同密级数据的权限申请设置不同的审批流程。

值得注意的是,审批策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面,单击“审批策略”进入审批策略页签。单击“新建”,新建一条审批策略。

    图1 创建审批策略

  4. 在创建策略页面中,参考表1完成审批策略创建,审批节点可通过单击进行新增。

    图2 配置审批策略

    表1 审批策略参数说明

    配置项

    说明

    基本信息

    *策略名称

    配置审批策略名。仅支持中英文、数字和下划线,长度不超过32个字符。

    策略描述

    为更好地识别审批策略,此处加以描述信息,长度不能超过255个字符。

    数据密级范围

    如果需要针对不同密级数据的权限申请设置不同的审批流程,此处需要选择数据密级。注意,一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。

    选择数据密级的条件为:

    • 已开启数据地图组件。
    • 已采集相关密级数据的元数据。
    • 已完成敏感数据发现任务,并将密级信息同步到数据地图。

    审批节点配置-系统角色/IAM用户/IAM用户

    审批人类型

    选择审批人类型。

    选择角色

    根据不同的审批人类型,选择对应的审批人角色。

  5. 审批策略填写完成后,单击提交可新建一条审批策略。新建的审批策略默认为关闭状态,如需生效,请在审批策略列表处,单击进行开启。

    图3 审批策略列表

申请权限

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面的权限申请页签,单击“创建权限申请”,创建权限申请工单。

    图4 创建权限申请

  4. 在权限申请工单页面中,参考表2完成工单填写。

    图5 填写工单

    表2 权限申请工单参数说明

    配置项

    说明

    基本信息

    *工作空间

    选择已配置空间权限集的工作空间。

    *空间权限集

    选择空间权限集,空间权限集权限范围应已包含所需资源权限。

    *数据源类型

    当前支持Hive、DWS、DLI。

    *集群名称

    选择要申请的资源所在的集群。

    *数据连接

    选择要申请的资源所在的数据连接。

    资源选择

    *待添加资源

    在导航树上选择数据库后,勾选所需的数据表,单次申请时支持选择不同数据库下的表。

    说明:
    • 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置所选数据表中所有列的SELECT权限。
    • 在新版本模式下仅当使用企业版时,才支持按字段粒度申请权限,以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。

    另外,导航树上的快速模式开启后,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。推荐开启快速模式。

    *已选择资源

    在已选择资源列表中可查看所选的表、权限和审批人信息。

    说明:

    审批人默认来自权限集/角色的管理员。例如,如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限,审批人可以选择为权限集A或角色B管理员;如果只有空间权限集定义了所选数据表中所有列的SELECT权限,审批人为空间权限集的管理员。

    申请信息

    为自己

    勾选为自己后,可为自己申请所选择的资源权限。

    空间账号

    当在数据开发组件配置调度的公共IAM账号后,可为空间账号申请所选择的资源权限。

    为他人

    可选择工作空间内的成员,为其申请所选择的资源权限。

    *申请原因

    填写申请原因,便于审批人审视是否应当审批。

    有效期

    选择权限有效期支持选择为固定时长(从申请之日开始计算),也可以自定义配置到期时间。不配置表示权限不存在超时时间。

    说明:

    在新版本模式下仅当使用企业版时,才支持管理权限有效期。旧版本模式使用基础版及更高版本时即可支持。

  5. 工单填写完成后,单击提交可生成一条待审批的工单记录。在工单列表处,可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情,并支持撤回未审批的工单。

    图6 工单列表

审批权限

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面,审批人单击“权限审批”进入权限审批页签。

    图7 权限审批

  4. 在权限审批页签中,工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情。请从业务合理性和数据安全角度审视,确认“通过”或“驳回”该工单,同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。
  5. 在权限审批页签中,单击“已审批”,可查看已经审批通过的工单。

    图8 已通过工单列表

回收权限

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击数据安全左侧导航树中的权限审批,进入权限审批页面。
  3. 权限审批页面,单击“权限回收”,进入权限回收页签。

    图9 权限回收

  4. 在权限回收页签中,列表展示指定空间(默认当前空间)下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名,匹配权限记录(支持模糊匹配),然后通过操作栏中的“回收”,删除当前的权限记录。

    DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。

    在新版本模式下仅当使用企业版时(旧版本模式使用基础版及更高版本时即可支持),此处才支持进行“变更有效期”操作,详见变更有效期

    图10 回收权限

相关操作

  • 编辑审批策略:在审批策略页面,单击对应策略操作栏中的“编辑”,即可修改审批策略各项参数。
  • 编辑审批策略状态:新增的审批策略默认为关闭状态。当审批策略为关闭状态时,表示该策略将不生效。

    需要修改审批策略状态时,在审批策略页面单击对应审批策略中的,即可启用或关闭审批策略。

  • 删除审批策略:在审批策略页面,单击对应策略操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选审批策略后,在列表上方单击“批量删除”。

    删除操作无法撤销,请谨慎操作。