更新时间:2026-04-14 GMT+08:00
工作空间概述
工作空间概述
在使用AI DataLake进行数据分析的场景中,管理员首先需要考虑的就是项目隔离、权限隔离与管理、资源分配问题。AI DataLake的工作空间正是为解决这些问题而设计,通过环境隔离、资源绑定的基本逻辑,为您提供一个独立的开发环境,并基于此环境创建计算资源、选择引擎、配置端点和开发作业,从而实现高效有序且安全隔离的数据开发。
工作空间的核心功能
工作空间作为独立的数据开发和管理单元,提供了以下核心功能:
- 每个工作空间拥有独立的计算资源,不同工作空间之间资源完全隔离,互不影响。所有数据分析任务均在工作空间内完成。
- 一个工作空间绑定一个LakeFormation实例,使用LakeFormation管理元数据和数据访问权限。
- 一个工作空间即可满足不同的数据处理需求,在工作空间下创建计算资源,并根据业务需求选择引擎创建端点,开发作业,每个空间可以新建不同的端点,用于连接计算引擎和计算资源,且支持专属预留资源和按需弹性资源。
- 支持通过基于IAM的细粒度权限控制不同的IAM用户对空间的访问权限,即开放所有空间的权限,不区分空间授权。
- 不同工作空间之间的数据、权限、作业相互隔离,保障项目数据安全。
工作空间约束与限制
|
类型 |
说明 |
|---|---|
|
配额限制 |
每个账号在每个区域最多可创建5个工作空间。如需扩大配额参考配额限制。 |
|
命名规则 |
工作空间的名称长度为4-32个字符,只能包含字母、数字、下划线(_)和连字符(-),且不能以连字符(-)开头或结尾。 |
|
区域限制 |
工作空间创建后不能更换区域,也不支持迁移至其他区域。 |
|
生命周期 |
工作空间删除后无法恢复,请谨慎操作。 |
|
绑定Lakeformation实例规则 |
|
|
权限要求 |
开通AI DataLake服务时需要授予AI_DATALAKE_SELF_POLICY权限,否则无法创建/管理工作空间。 |
工作空间与LakeFormation实例的关系
在AI DataLake服务架构中工作空间是业务与权限的隔离单元,LakeFormation实例是元数据与权限的数据服务载体。
- LakeFormation实例提供元数据服务和权限管理功能。
- 工作空间是面向业务的逻辑空间,在绑定一个LakeFormation实例后才能使用元数据能力。
- 一个LakeFormation实例可被多个工作空间绑定,实现元数据共享 + 权限隔离。
在实际工作时:
- 工作空间本身不存储元数据,所有元数据操作(建库、建表、授权)都转发给绑定的LakeFormation实例执行。
- LakeFormation实例不感知业务隔离,仅提供统一的元数据读写与权限校验。而LakeFormation管理的数据都存在OBS中,因此在创建LakeFormation实例时需要绑定OBS桶。
如图1所示,用户User A创建工作空间S1,并绑定LakeFormation实例L1。用户User B创建工作空间S2后,通过LakeFormation的权限授权配置,实现S2访问L1中创建的元数据与对应OBS数据,从而达成多工作空间共享同一元数据实例、按需权限隔离与互访的效果。
父主题: 创建AI DataLake工作空间
