更新时间:2024-10-18 GMT+08:00

配置空间资源权限策略

本章介绍如何通过空间资源权限策略,基于用户、用户组或角色,实现对管理中心所有数据连接和IAM委托(仅限于委托对象为“数据湖治理中心 DGC”的云服务委托)的精细权限控制。

  • 当未配置某资源的空间资源权限策略时,所有用户默认可以查看并使用该资源。
  • 当将某资源(例如某个连接或者某个委托)赋权给任一用户、用户组或角色后,对于非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)而言,则无权再查看并使用此资源。

前提条件

DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户有权限新建、编辑或删除空间资源权限策略。

约束与限制

  • 当前仅支持简单模式的工作空间资源管控,不支持企业模式。
  • 如果未对某资源进行赋权,则默认该资源权限放开,不做权限管控。
  • 当前仅数据开发组件支持空间资源权限策略,其他组件不受空间资源权限策略限制。在数据开发组件如下场景中,会根据空间资源权限策略进行鉴权。
    • 脚本开发或者作业开发中,选择连接或作业委托、公共委托。
    • 提交脚本或者作业。
  • 对于历史版本中直接在数据开发组件创建的数据连接,暂不支持进行资源权限管理。
  • 对于已有的空间资源权限策略,当已删除对应资源后,策略不会随之自动删除。

新建空间资源权限策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的空间资源权限,进入空间资源权限页面。

    图1 进入空间资源权限页面

  3. 单击空间资源权限页面的“新建” ,在弹出的策略配置页参考表1配置相关参数,配置完成单击“保存”,策略配置完成。

    表1 配置空间资源权限策略参数说明

    参数名

    参数描述

    *策略名称

    标识空间资源权限策略,为便于策略管理,建议名称中包含资源对象和授权对象。

    资源对象

    数据连接

    选择需要授权的管理中心组件数据连接。如需新建数据连接,请参考创建DataArts Studio数据连接

    说明:
    • 对于未选择的数据连接,则默认该连接权限放开,不做权限管控。
    • 对于选择的数据连接,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该连接。

    委托

    选择需要授权的IAM委托,仅限于委托对象为“数据湖治理中心 DGC”的云服务类型委托。如需新建委托,请参考参考:创建委托

    说明:
    • 对于未选择的委托,则默认该委托权限放开,不做权限管控。
    • 对于选择的委托,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该委托。

    授权对象

    用户

    选择需要授权的用户。用户列表来自于工作空间用户。

    用户组

    选择需要授权的用户组。用户组列表来自于工作空间用户组。

    角色

    选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。

    图2 新建空间资源权限策略

相关操作

  • 编辑策略:在空间资源权限页面,单击对应策略操作栏中的“编辑”,即可编辑策略。
  • 删除策略:在空间资源权限页面,单击对应策略操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选策略后,在策略列表上方单击“批量删除”。

    删除操作无法撤销,请谨慎操作。