准备工作1：授权dlg_agency委托

云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。首次进入DataArts Studio控制台首页时，系统会弹出访问授权的对话框，提示您对未授权的云服务进行访问授权。同意授权后，DataArts Studio会自动创建名为dlg_agency的委托。如果未同意授权，会在下次进入控制台首页时，再次弹出对话框。

由于数据安全使用委托时，所需的云服务权限更高。因此在使用数据安全前，需要提前为dlg_agency委托授予相关权限，所需权限如表1所示。

表1 待授予权限合集
权限名称	配置目的	是否必选	授权项/系统权限（二者选其一配置即可）
IAM权限	系统获取用户或用户组、创建角色时，需要该权限。例如用户同步时，如果无此权限会导致操作失败。	MRS/DWS/DLI权限管理时必选	iam:users:listUsers iam:groups:listGroups iam:users:listUsersForGroup iam:roles:createRole iam:roles:deleteRole iam:roles:updateRole iam:permissions:grantRoleToGroup iam:permissions:listRoleAssignments iam:permissions:revokeRoleFromGroup	Security Administrator
MRS/DWS数据连接Agent权限	系统进行权限同步时，需要该权限。例如权限集权限同步、角色权限同步或者审批权限申请时，如果无此权限会导致操作失败。	MRS/DWS权限管理时必选	任一CDM权限，例如：cdm:cluster:get	任一CDM权限，例如：CDM Administrator
MRS用户同步权限	MRS用户同步时，需要该权限。例如MRS用户同步时，如果无此权限会导致用户同步失败。	MRS权限管理时必选	mrs:cluster:syncUser	MRS FullAccess
DWS用户同步权限	DWS用户同步时，需要该权限。例如DWS用户同步时，如果无此权限会导致用户同步失败。	DWS权限管理时必选	dws:dbAuthority:syncIamUser dws:dbAuthority:updateUser	DWS FullAccess
DLI权限同步权限	DLI权限同步时，需要该权限。例如DLI权限同步时，如果无此权限会导致同步失败，系统提示权限不足。	DLI权限管理时必选	dli:database:grantPrivilege dli:table:grantPrivilege dli:column:grantPrivilege dli:queue:grantPrivilege	DLI FullAccess

前提条件

在进入DataArts Studio控制台首页时，已在弹出访问授权对话框中选择同意授权，以便系统自动创建名为dlg_agency的委托。

约束与限制

委托授权成功后，需要等待约15-30分钟待权限生效，然后可正常使用数据安全进行访问权限管理。

为dlg_agency委托授权

为dlg_agency委托授权时，应按照您的业务场景，从表1中选择所需的授权项或系统权限进行授权，其中授权项或系统权限二者选其一配置。

本例以MRS权限管理业务场景为例进行说明，则需要授予的权限为IAM权限、MRS/DWS数据连接Agent权限和MRS用户同步权限。本例中使用授权项配置最小权限，授权操作如下：

登录统一身份认证服务IAM控制台。
在IAM服务左侧导航窗格中，进入“权限管理 > 权限”，单击页面中的“创建自定义策略”。

图1 单击创建自定义策略
在弹出的创建自定义策略页面中，切换到JSON视图，填写MRS权限管理所需的IAM相关自定义策略后，单击“确定”完成IAM相关自定义策略创建。

创建自定义策略时，暂不支持同时选全局级云服务和项目级云服务，需要拆分为两条策略。因此本例先配置IAM相关策略，再配置MRS和CDM相关策略。
- 名称：DataArtsIamUserGroup_IAM
- 策略配置方式：单击“JSON视图”，切换到JSON视图。
- 策略内容：在JSON视图中，输入如下JSON代码，并单击“确认”。
```
{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:users:listUsers",
                "iam:groups:listGroups",
                "iam:users:listUsersForGroup",
                "iam:roles:createRole",
                "iam:roles:deleteRole",
                "iam:roles:updateRole",
                "iam:permissions:grantRoleToGroup",
                "iam:permissions:listRoleAssignments",
                "iam:permissions:revokeRoleFromGroup"
            ]
        }
    ]
}
```
  图2 创建IAM相关自定义策略
再次单击“创建自定义策略”，在弹出的创建自定义策略页面中，切换到JSON视图，填写MRS权限管理所需的MRS和CDM相关自定义策略配置后，单击“确定”完成MRS和CDM相关自定义策略创建。

创建自定义策略时，暂不支持同时选全局级云服务和项目级云服务，需要拆分为两条策略。因此本例先配置IAM相关策略，再配置MRS和CDM相关策略。
- 名称：DataArtsIamUserGroup_MRS
- 策略配置方式：单击“JSON视图”，切换到JSON视图。
- 策略内容：在JSON视图中，输入如下JSON代码。
```
{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mrs:cluster:syncUser",
                "cdm:cluster:get"
            ]
        }
    ]
}
```
  图3 创建MRS和CDM相关自定义策略
在IAM服务左侧导航窗格中，进入“委托”，搜索“dlg_agency”，找到dlg_agency委托项，单击“授权”。

图4 dlg_agency授权
在授权框中，找到并勾选之前创建的自定义策略DataArtsIamUserGroup_IAM和DataArtsIamUserGroup_MRS，单击“下一步”。

图5 选择自定义策略
单击“确定”，给委托完成授权。授权后，等待约15-30分钟，即可使用数据安全进行MRS访问权限管理。