云服务器内容精选
-
变更有效期 对于用户已申请到的权限,管理员可以进行审视,并调整不适宜的权限有效期,以便权限及时更新或回收。 在 DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击左侧导航树中的"权限审批",在“权限审批”页面,单击“权限回收”进入权限回收页签。 在“权限回收”页签,查看当前空间下已审批通过的权限。 图4 权限回收 在待变更有效期权限的操作栏选择“变更有效期”,或在选择待变更有效期权限后选择列表上方的“批量变更有效期”,在弹出的窗口中选择权限的有效期。选择权限有效期支持选择为固定时长(从申请之日开始计算),也可以自定义配置到期时间(到期时间精确为当天晚上24点)。 图5 变更有效期 点击“确定”,完成权限有效期变更。
-
续期权限 对于即将到期的权限,如果有延长有效期的需要,申请者可以进行续期申请。申请审批通过后,有效期会延长至新的到期时间。 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击左侧导航树中的“权限审批”,在“权限审批”页面,单击“我的权限”进入我的权限页签。 在“我的权限页面”,查看我已申请到的权限。 图2 我的权限 在待续期权限的操作栏选择“续期”,或在选择待续期权限后选择列表上方的“批量续期”,在弹出的窗口中选择权限的有效期。选择权限有效期支持选择为固定时长(从申请之日开始计算),也可以自定义配置到期时间(到期时间精确为当天晚上24点)。 图3 权限续期 点击“确定”,完成续期申请。
-
配置权限到期提醒 管理员可以配置权限到期提醒主题、通知时间等信息,已订阅的用户在权限过期前7天开始会收到权限到期通知信息。 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击左侧导航树中的"权限审批",在“权限审批”页面,单击“权限通知”进入权限通知页签。 在"权限通知"页面,配置权限到期提醒。 权限到期通知主题:选择 消息通知 服务( SMN )中的消息主题。 权限到期通知时间(每天几点通知):选择每日通知的整点时间。 权限到期通知外部接口:选择 数据加密 中消息通知类型的外部接口。选择后会将通知消息发送给外部接口所对接的第三方通知接口,关于外部接口的详情可参考外部接口(高级特性)。 权限到期通知空间账号管理角色:选择到期通知的工作空间角色。 图6 权限通知
-
约束与限制 仅DAYU Administrator、Tenant Administrator、数据安全管理员可以变更权限有效期、配置权限到期提醒、操作所有订阅提醒。非管理员用户只能操作自己的订阅信息,无法查看和操作其他用户订阅提醒信息。 权限到期提醒将在权限过期前7天开始提醒,该时间不支持修改。 有效期到期回收后,已失效权限会保留7天,用于及时审视续期,超期后清理。 配置权限到期提醒需要为dlg_agency委托配置SMN服务操作权限(SMN FullAccess)。 当到期提醒使用数据开发通知主题时,会由于在数据开发侧添加的订阅自带的订阅筛选策略,导致仅请求订阅还是不会收到通知。因此在使用数据开发通知主题的场景下,除了请求订阅外,还需要再进行关联订阅后才能收到权限到期提醒。 订阅列表中的订阅通过备注与用户关联,备注为用户名的订阅,视作相应用户的订阅。 订阅列表与主题绑定,切换主题后,需重新配置订阅提醒。 已配置的终端信息不支持编辑,如果手机号、邮箱等终端发生变化,需删除后重新添加并请求订阅。 用户组的权限到期提醒,如果用户的组信息发生过变化,需要刷新订阅策略,才可以及时接收到正确的组信息。 每天到期提醒会整合为一条消息通知。如果即将到期的权限过多,则优先展示最快到期的权限,最多提示100条或20w字节。 受限于并发控制以及SMN性能等因素,消息通知可能会有数分钟的通知时延。
-
配置空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面,找到需要配置的空间权限集,单击权限集名称进入详情页面。 图3 进入空间权限集详情 基本信息:在空间权限集详情页面,基本信息区域可以查看空间权限集名称、ID、管理员等信息,详见图4。 图4 空间权限集基本信息 权限配置:在权限集详情页面,权限配置页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持 MRS 数据源。 图5 数据视角权限配置 配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。 数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表的表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 图6 数据视角授权 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。 配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表的表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限: 创建库:write 权限创建表/写入数据/删除表:read权限 DWS授权时,数据库可修改为逻辑集群,用于为DWS数据源开启逻辑集群功能后的授权。逻辑集群场景下,使用DWS额外所需如下逻辑集群权限: 允许在子集群中创建表对象:create 允许访问子集群下的表对象:usage 允许用户在具有compute权限的计算子集群上进行弹性计算:compute 配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图7 权限视角权限配置 用户配置:在权限集详情页面,单击“用户配置”进入用户配置页签。 用户配置的含义即为将权限配置中定义的数据权限,与此处的用户绑定起来。您可以单击“添加”,按照用户或用户组(当前暂不支持选择“工作空间角色”)的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图8 用户配置 子权限集:在权限集详情页面,单击“子权限集”进入子权限集页签。 在子权限集页签,您可以查看到当前权限集下的子权限集。 图9 查看子权限集 日志:在权限集详情页面,单击“日志”进入日志页签。 在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图10 查看日志 权限集配置完成后,权限管控并不会直接生效。需要您手动将权限同步到数据源中,同步成功后权限管控才能生效,详见同步权限集。 实际上,由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。
-
相关操作 同步空间权限集:空间权限集需要手动同步到数据源中权限管控才能生效。但由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,推荐通过配置角色进行权限管控。 如需同步空间权限集,则在空间权限集页面,单击列表中对应权限集操作栏中的“同步”,即可将权限集同步至数据源。当需要批量同步时,可以在勾选权限集后,在列表上方单击“同步”。 编辑空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“编辑”,即可修改权限集名称、管理员、描述信息。 删除空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“删除”,在弹窗中再次确认后,即可删除权限集。当需要批量删除时,可以在勾选权限集后,在列表上方单击“删除”。 注意,已配置权限、用户或有子权限集的空间权限集不可删除。如需删除应先清理空间权限集的相关配置。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。
-
约束与限制 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或同步空间权限集,权限集管理员支持同步空间权限集,其他普通用户无权限操作。 当前通过空间权限集定义权限时,仅支持 DLI 、MRS Hive和DWS数据源。 空间权限集配置完成后,权限管控并不会直接生效,而是需要将空间权限集手动同步到数据源后,权限管控才能生效。 由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。如果需要同步,则需注意以下限制: 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 DWS权限集授权时,如果给某一用户赋予了DWS数据源某个Schema下的全表权限(即将权限中的数据表配置为*号),则该用户具备对该Schema下的所有表的相应权限。但由于DWS自身权限特性限制,这些赋予的权限仅针对当前已有的表;而对于权限同步后再创建的新表(以下简称未来表),该用户依然没有权限,需要在角色/权限集中再次手动进行 权限同步后,才能确保该用户具备未来表的相应权限。 为了解决未来表权限需要手动同步的问题,您可以通过未来表权限为指定Schema配置未来表的建表用户。当这些用户在指定Schema下创建未来表时,当前实例下所有对该Schema拥有全表权限的用户,将自动获得对所创建未来表的相应权限。 DLI权限集同步时会将权限由 IAM 创建自定义策略绑定到用户/用户组中。IAM最多可创建自定义策略200条,同步前请确保配额充足。 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
-
前提条件 配置权限集前,已在管理中心创建 数据仓库 服务(DWS)、 数据湖探索 (DLI)、 MapReduce服务 (MRS Hive)和MapReduce服务(MRS Ranger)类型的数据连接,请参考创建DataArts Studio数据连接。 配置权限集前,已参考授权dlg_agency委托为dlg_agency委托配置权限。 配置权限集前,已参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。 如果希望在权限配置时能够展示数据连接中数据库、表以及字段等元数据提示信息,则需要在数据目录组件,对数据表成功进行过元数据采集,详见元数据采集任务。
-
创建空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面单击“新建”,创建权限集。 图1 创建空间权限集 新建空间权限集配置请参考表1,参数配置完成单击“确定”即可。 表1 新建空间权限集参数设置 参数名 参数设置 *权限集名称 标识权限集,实例下唯一。 建议名称中包含含义,避免无意义的描述,以便于快速识别所需权限集。 *管理员 选择管理员。当前权限集管理员支持最多选2个,且管理员类型必须同为用户或者用户组。 管理员为当前权限集的负责人,具有配置当前权限集内权限的能力。管理员职能范围: 权限配置:为权限集分配数据源权限。 用户配置:将当前集合内权限分配给用户、用户组或工作空间角色。 创建权限集:基于当前权限集新建权限集和角色,新建权限集的权限不会大于当前权限集。 描述 为更好地识别权限集,此处加以描述信息。 图2 创建空间权限集配置
-
审批权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,审批人单击“权限审批”进入权限审批页签。 图7 权限审批 在权限审批页签中,工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情。请从业务合理性和数据安全角度审视,确认“通过”或“驳回”该工单,同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。 在权限审批页签中,单击“已审批”,可查看已经审批通过的工单。 图8 已通过工单列表
-
申请权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面的权限申请页签,单击“创建权限申请”,创建权限申请工单。 图4 创建权限申请 在权限申请工单页面中,参考表2完成工单填写。 图5 填写工单 表2 权限申请工单参数说明 配置项 说明 基本信息 *工作空间 选择已配置空间权限集的工作空间。 *空间权限集 选择空间权限集,空间权限集权限范围应已包含所需资源权限。 *数据源类型 当前支持Hive、DWS、DLI。 *集群名称 选择要申请的资源所在的集群。 *数据连接 选择要申请的资源所在的数据连接。 资源选择 *待添加资源 在导航树上选择数据库后,勾选所需的数据表,单次申请时支持选择不同数据库下的表。 说明: 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置所选数据表中所有列的SELECT权限。 另外,导航树上的快速模式开启后,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。推荐开启快速模式。 *已选择资源 在已选择资源列表中可查看所选的表、权限和审批人信息。 说明: 审批人默认来自权限集/角色的管理员。例如,如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限,审批人可以选择为权限集A或角色B管理员;如果只有空间权限集定义了所选数据表中所有列的SELECT权限,审批人为空间权限集的管理员。 申请信息 为自己 勾选为自己后,可为自己申请所选择的资源权限。 空间账号 当在数据开发组件配置调度的公共IAM账号后,可为空间账号申请所选择的资源权限。 为他人 可选择工作空间内的成员,为其申请所选择的资源权限。 *申请原因 填写申请原因,便于审批人审视是否应当审批。 工单填写完成后,单击提交可生成一条待审批的工单记录。在工单列表处,可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情,并支持撤回未审批的工单。 图6 工单列表
-
相关操作 编辑审批策略:在审批策略页面,单击对应策略操作栏中的“编辑”,即可修改审批策略各项参数。 编辑审批策略状态:新增的审批策略默认为关闭状态。当审批策略为关闭状态时,表示该策略将不生效。 需要修改审批策略状态时,在审批策略页面单击对应审批策略中的或,即可启用或关闭审批策略。 删除审批策略:在审批策略页面,单击对应策略操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选审批策略后,在列表上方单击“批量删除”。 删除操作无法撤销,请谨慎操作。
-
回收权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,单击“权限回收”,进入权限回收页签。 图9 权限回收 在权限回收页签中,列表展示指定空间(默认当前空间)下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名,匹配权限记录(支持模糊匹配),然后通过操作栏中的“回收”,删除当前的权限记录。 仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。 图10 回收权限
-
配置审批策略 通过审批策略,您可以设置多级审批流程,或针对不同密级数据的权限申请设置不同的审批流程。 值得注意的是,审批策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,单击“审批策略”进入审批策略页签。单击“新建”,新建一条审批策略。 图1 创建审批策略 在创建策略页面中,参考表1完成审批策略创建,审批节点可通过单击进行新增。 图2 配置审批策略 表1 审批策略参数说明 配置项 说明 基本信息 *策略名称 配置审批策略名。仅支持中英文、数字和下划线,长度不超过32个字符。 策略描述 为更好地识别审批策略,此处加以描述信息,长度不能超过255个字符。 数据密级范围 如果需要针对不同密级数据的权限申请设置不同的审批流程,此处需要选择数据密级。注意,一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。 选择数据密级的条件为: 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务,并将密级信息同步到数据地图。 审批节点配置-系统角色/IAM用户/IAM用户组 审批人类型 选择审批人类型。 选择角色 根据不同的审批人类型,选择对应的审批人角色。 审批策略填写完成后,单击提交可新建一条审批策略。新建的审批策略默认为关闭状态,如需生效,请在审批策略列表处,单击进行开启。 图3 审批策略列表
-
约束与限制 一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。 创建基于密级的审批策略时,需要满足以下条件: 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务,并将密级信息同步到数据地图。 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置待申请数据表中所有列的SELECT权限。 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。 单次申请多个数据表的权限,会拆成多个工单进行审批。 当前权限申请和审批模块,仅支持查看当前用户的权限申请与审批记录,不支持权限审计。 DLI权限申请只支持为用户申请,不支持用户组。 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
