配置空间资源权限策略
本章介绍如何通过空间资源权限策略,基于用户、用户组或角色,实现对管理中心所有数据连接和IAM委托(仅限于委托对象为“数据湖治理中心 DGC”的云服务委托)的精细权限控制。
- 当未配置某资源的空间资源权限策略时,所有用户默认可以查看并使用该资源。
- 当将某资源(例如某个连接或者某个委托)赋权给任一用户、用户组或角色后,对于非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)而言,则无权再查看并使用此资源。
前提条件
仅DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户有权限新建、编辑或删除空间资源权限策略。
约束与限制
- 当前仅支持简单模式的工作空间资源管控,不支持企业模式。
- 如果未对某资源进行赋权,则默认该资源权限放开,不做权限管控。
- 当前仅数据开发组件支持空间资源权限策略,其他组件不受空间资源权限策略限制。在数据开发组件如下场景中,会根据空间资源权限策略进行鉴权。
- 脚本开发或者作业开发中,选择连接或作业委托、公共委托。
- 提交脚本或者作业。
- 对于历史版本中直接在数据开发组件创建的数据连接,暂不支持进行资源权限管理。
- 对于已有的空间资源权限策略,当已删除对应资源后,策略不会随之自动删除。
新建空间资源权限策略
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击左侧导航树中的
,进入空间资源权限页面。图1 进入空间资源权限页面
- 单击空间资源权限页面的“新建” ,在弹出的策略配置页参考表1配置相关参数,配置完成单击“保存”,策略配置完成。
表1 配置空间资源权限策略参数说明 参数名
参数描述
*策略名称
标识空间资源权限策略,为便于策略管理,建议名称中包含资源对象和授权对象。
资源对象
数据连接
选择需要授权的管理中心组件数据连接。如需新建数据连接,请参考创建DataArts Studio数据连接。
说明:- 对于未选择的数据连接,则默认该连接权限放开,不做权限管控。
- 对于选择的数据连接,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该连接。
委托
选择需要授权的IAM委托,仅限于委托对象为“数据湖治理中心 DGC”的云服务类型委托。如需新建委托,请参考参考:创建委托。
说明:- 对于未选择的委托,则默认该委托权限放开,不做权限管控。
- 对于选择的委托,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该委托。
授权对象
用户
选择需要授权的用户。用户列表来自于工作空间用户。
用户组
选择需要授权的用户组。用户组列表来自于工作空间用户组。
角色
选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。
图2 新建空间资源权限策略
相关操作
- 编辑策略:在空间资源权限页面,单击对应策略操作栏中的“编辑”,即可编辑策略。
- 删除策略:在空间资源权限页面,单击对应策略操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选策略后,在策略列表上方单击“批量删除”。
删除操作无法撤销,请谨慎操作。