华为云用户手册

约束与限制 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置待申请数据表中所有列的SELECT权限。 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。 单次申请多个数据表的权限，会拆成多个工单进行审批。 当前权限申请和审批模块，仅支持查看当前用户的权限申请与审批记录，不支持权限审计。 DLI 权限申请只支持为用户申请，不支持用户组。 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在 DataArts Studio 数据开发组件执行脚本、测试运行作业时，数据源（此处指 MRS /DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。

新建企业模式工作空间 如果您之前未使用过简单模式、无需继承业务数据，则可以直接新建新企业模式工作空间。 创建工作空间 使用具有DAYU Administrator、Tenant Administrator权限的账号进入DataArts Studio控制台。 单击控制台的“空间管理”页签，进入工作空间页面。 单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1所示，配置完成后，单击“确定”完成工作空间的创建。 图6 空间信息 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择工作空间为简单模式还是企业模式。新建企业模式工作空间时，此处需配置为企业模式。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见《企业管理用户指南》。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 一个企业项目下只能购买一个DataArts Studio实例。 需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlf-log-{projectId}”命名的OBS桶中，{projectId}即项目ID。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlf-log-{projectId}”命名的OBS桶中。 标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。 说明： 如您的账号归属某个组织，且该组织已经设定DataArts Studio服务的相关标签策略，则需按照标签策略规则添加标签。标签如果不符合标签策略的规则，则可能会导致实例创建失败，请联系组织管理员了解标签策略详情。 当拥有多个工作空间时，您可以按使用者、维护者或用途等各类维度为各工作空间添加标签，然后在工作空间列表页面，可以通过标签搜索、识别不同类型的工作空间。 标签由标签键和标签值组成。在添加标签时，标签键和标签值可以选择在标签管理服务（简称TMS）中创建的预定义标签，也可以直接输入自定义的标签。然后单击输入框右侧的“添加”，即可成功添加一条标签。 说明： 预定义标签需要预先在标签管理服务中创建好，然后才能进行选择。您可以通过单击“查看预定义标签”进入标签管理服务的“预定义标签”页面，然后单击“创建标签”来创建新的预定义标签，具体请参见《标签管理服务用户指南》中的“创建预定义标签”章节。 另外，工作空间最多支持添加20个标签，标签的键名不能重复，一个“标签键”只能添加一个对应“标签值”。 创建后操作 创建后需要管理员手工新建数据连接、配置环境隔离，并按照组织分工在工作空间处定义管理员、开发者、部署者、运维者等角色。 新建数据连接：请参考创建DataArts Studio数据连接。 配置环境隔离：请参考配置DataArts Studio企业模式环境隔离。 为其他用户定义工作空间角色：请参见添加工作空间成员和角色章节添加工作空间成员和角色。 另外，新建企业模式工作空间，还需要您在数据开发中配置空间级别的公共委托或公共 IAM 账号。配置委托的操作详情可参见配置调度身份。 图7 配置工作空间委托

简单模式升级企业模式 对于简单模式的工作空间，DAYU Administrator、Tenant Administrator可以直接将其升级为企业模式。 升级前操作 如果您需要升级工作空间模式，需要在数据开发中配置空间级别的公共委托或公共IAM账号，避免升级失败。 配置委托的操作详情可参见配置调度身份。 图4 配置工作空间委托 升级操作 登录DataArts Studio控制台。 找到所需要的DataArts Studio实例，在DataArts Studio实例上单击“进入控制台”。然后，选择“空间管理”页签。 在“空间管理”页面，找到需要升级模式的工作空间，单击其所在行的“编辑”，此时显示“空间信息”页面。 在“空间信息”页面，单击“空间模式”后的“升级”按钮，弹出确认界面后，单击“确认升级”您就可以将该工作空间升级为企业模式。 图5 升级企业模式 升级后操作 升级后需要管理员手工修改数据连接、配置环境隔离，并按照组织分工在工作空间处定义管理员、开发者、部署者、运维者等角色。 修改数据连接：请参考创建DataArts Studio数据连接。 配置环境隔离：请参考配置DataArts Studio企业模式环境隔离。 为其他用户定义工作空间角色：请参见添加工作空间成员和角色章节添加工作空间成员和角色。

前提条件 创建工作空间模式前，您需要先了解以下内容： 已了解简单模式与企业模式工作空间的区别，包括不同工作空间的开发流程等差异，详情请参见简单模式与企业模式介绍。 已配置空间级的身份调度，包含公共委托和公共IAM账号，详情请参见配置公共委托和配置公共IAM账号。 已准备好两套相互隔离的 数据湖 引擎，用于隔离开发和生产环境。 配置两套数据湖服务，进行开发与生产环境隔离。 对于集群化的数据源（例如MRS、DWS、RDS、MySQL、Oracle、DIS、E CS 等），DataArts Studio通过管理中心的创建数据连接区分开发环境和生产环境的数据湖服务，在开发和生产流程中自动切换对应的数据湖。因此您需要准备两套数据湖服务，且两套数据湖服务的版本、规格、组件、区域、VPC、子网以及相关配置等信息，均应保持一致，详细操作请参见创建DataArts Studio数据连接。 创建数据连接时，通过不同的集群来进行开发与生产环境的隔离，如图1所示。 图1 创建数据连接时选择不同集群 配置DLI环境隔离。 配置企业模式环境隔离，包含DLI队列配置和DB配置。 对于Serverless服务（例如DLI），DataArts Studio通过管理中心的环境隔离来配置生产环境和开发环境数据湖服务的对应关系，在开发和生产流程中自动切换对应的数据湖。因此您需要在Serverless数据湖服务中准备两套队列、两套数据库资源，建议通过名称后缀进行区分，详细操作请参见配置DataArts Studio企业模式环境隔离。 配置DB，在同一个数据湖服务下配置两套数据库，进行开发与生产环境隔离。 对于DWS、MRS Hive和MRS Spark这三种数据源，如果在创建数据连接时选择同一个集群，如图2所示，则需要配置数据源资源映射的DB数据库映射关系进行开发生产环境隔离，如图3所示。详细操作请参见DB配置。 图2 创建数据连接时选择同一个集群 图3 DB配置 数据准备与同步 数据湖服务创建完成后，您需要按照项目规划（例如数据开发需要操作的库表等），分别在开发和生产环境的数据湖服务中，新建数据库、数据库模式（仅DWS需要）、数据表等。 对于集群化的数据源（例如MRS、DWS、RDS、MySQL、Oracle、DIS、ECS），使用两套集群资源，两套环境中的数据库、数据库模式（仅DWS需要）和数据表必须保持同名。 对于Serverless服务（例如DLI），两套队列和两套数据库建议通过名称和后缀（开发环境添加后缀“_dev”，生产环境无后缀）进行关联与区分，数据表必须保持同名。 对于DWS、MRS Hive和MRS Spark数据源，如果使用一套相同的集群资源，通过两个数据库（开发环境添加后缀“_dev”，生产环境无后缀）进行开发生产环境隔离，两套环境中数据库模式（仅DWS需要）和数据表必须保持同名。 数据库、数据库模式（仅DWS需要）、数据表等新建完成后，如果涉及原始数据表等，您还需要将两套数据湖服务之间的数据进行同步： 数据湖中已有数据：通过 CDM 或DRS等数据迁移服务，在数据湖间批量同步数据。 数据源待迁移数据：通过对等的CDM或DRS等数据迁移服务作业进行同步，保证生产环境和开发环境的数据湖服务数据一致。

导入预置分类 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“数据分类”，进入数据分类页面。 图3 进入数据分类 如果还没有新建的分类，可以单击“导入预置数据分类”，进入导入窗口。已有新建分类时，可通过单击，进入导入窗口。 在弹出的导入预置数据分类窗口中，勾选需要导入的数据分类，为待导入规则逐一配置数据密级或批量设置密级后，单击“确定”完成预置数据分类和规则的导入。 图4 导入预置数据分类

创建分类 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“数据分类”，进入数据分类页面。 图1 进入数据分类 首次新建分类时，需要通过分类目录上方的 ，至少新增一个根目录层级分类。后续再新建分类时，可通过或，新增同级或子级分类。 单击或后，在弹出的新建分类窗口中，参考表1填写数据分类信息。 图2 新建数据分类 表1 参数设置 参数名 参数设置 *分类名称 分类名称只能包含中文、英文字母、数字和下划线。 描述 分类描述支持所有字符输入。

相关操作 编辑分类：在数据分类页面，先选择分类目录中需要修改的目录，然后单击分类目录上方的，即可修改分类名称和描述。 删除分类：在数据分类页面，先选择分类目录中需要删除的目录，然后单击分类目录上方的，即可删除分类。 另外，也支持通过编辑数据分类目录的方式删除分类。您可以单击分类目录上方的，在“编辑数据分类目录”页面删除分类。 当父类下有子分类的时候，无法直接删除该父分类，需要先删除子分类。 被引用的数据分类无法直接删除，需要先解除引用关系后才能删除。 删除操作无法撤销，请谨慎操作。 编辑数据分类目录：当需要整体编辑目录时，可以单击分类目录上方的，进入“编辑数据分类目录”页面。在“编辑数据分类目录”页面，支持新增子级分类，或删除分类。 删除操作无法撤销，请谨慎操作。

约束与限制 当前数据分类的最大层级数默认为5层，最大配额1000个。 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或删除数据密级、分类和识别规则，其他普通用户无权限操作。 当前支持在不同的父节点下创建同名的分类，但同一父节点下不能创建同名的分类。 导入预置数据分类时，需要先为所有的预置规则配置数据密级，才能导入预置数据分类。 导入预置数据分类时，会直接导入分类和对应的识别规则，与当前分类和规则同名的部分无法导入。 当父类下有子分类的时候，无法直接删除该父分类，需要先删除子分类。 被引用的数据分类无法直接删除，需要先解除引用关系后才能删除。

约束与限制 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以执行还原操作，其他普通用户无权限操作。 由于MRS纳管角色是继承的MRS数据源已有角色，非定义的数据安全数据，因此删除的纳管角色数据不会进入回收站。 权限集和动态脱敏策略被删除进入回收站后，将同步状态将统一置为未同步，从回收站还原后也需要手动进行同步才能生效。 回收站中的数据最多保存30天，删除时间超过30天的数据将被自动清理。 单实例下回收站中的权限集和动态脱敏策略分别最多保存1000条数据，超过1000条后会自动清理更早删除的数据。 数据还原操作时，如果“同名处理方式”参数配置为“名称添加时间戳”，则如果同名会在还原数据的原名称后添加时间戳信息（原名称_13位时间戳）。如果添加时间戳后总长度超过64，会对原名称进行截断操作，确保总长度不会超出64的限制。 从回收站还原被误删的权限集时，会校验权限集之间的关联关系，若不满足则无法还原。例如某权限集的父权限集已被删除，则其无法直接还原，必须先还原父权限集。 批量还原时，每次最多还原20条数据。

还原回收站数据 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“回收站”，进入回收站页面。 图1 进入回收站页面 在回收站页面，您可以通过切换页签，查看并还原已删除的权限集（包含空间权限集、权限集以及通用角色）或动态脱敏策略数据。 不同数据还原时的操作基本一致，后续步骤以还原权限集数据为例，为您介绍如何还原数据。 在权限集页签，找到待还原的权限集，单击列表操作栏中的“还原”进行数据还原。或者勾选待还原的权限集，单击列表上方的“还原”，进行批量还原。 图2 数据还原 在弹出的确认窗口中，您需要选择同名处理方式，以避免还原的数据与现有数据冲突。然后单击“确定”，完成数据的还原。 报错：如果有重名数据，则报错且不还原重名的数据。 名称添加时间戳：如果有重名数据，则在还原数据的原名称后添加时间戳信息（原名称_13位时间戳）。如果添加时间戳后总长度超过64，会对原名称进行截断操作，确保总长度不会超出64的限制。 图3 选择同名处理方式 完成还原后，您可以在相应空间权限集、权限集、通用角色或动态脱敏策略的入口，检查还原后的数据，并手动进行同步，以确保还原后的数据生效。

约束与限制 使用APP认证方式的API必须先通过应用授权才能调用。 APP认证方式的API只能授权给APP类型的应用。 如果对无认证方式的API进行应用授权，则系统会忽略此操作。 仅数据服务专享版支持重置APP类型应用的AppSecret。 仅DAYU Administrator、Tenant Administrator或者工作空间管理员支持重置APP类型应用的AppSecret。 APPSecret限制一分钟内重置一次，重置记录可在事件管理内查看。 重置APPSecret会导致已授权的API调用失败，请谨慎操作。

参考：创建委托 登录IAM服务控制台。 选择“委托”，单击“创建委托”。 设置“委托名称”。例如：DGC_agency。 在创建委托页面，委托类型选择“云服务”，云服务选择“数据湖治理中心DGC”，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用其他云服务，代替您进行一些资源运维工作。 图3 创建委托 单击“下一步”，进入授权页面。 在授权页面中搜索“Tenant Administrator”策略，勾选“Tenant Administrator”策略并单击“下一步”。 因Tenant Administrator策略具有除 统一身份认证 服务IAM外，其他所有服务的所有执行权限。所以给委托服务DataArts Studio配置Tenant Administrator，可访问周边所有服务。 若您想达到对权限较小化的安全管控要求，Tenant Administrator可不配置，仅配置OBS OperateAccess权限（因作业执行过程中，需要往OBS写执行日志信息，因此需要添加 OBS OperateAccess权限）。然后再根据作业中的节点类型，配置不同的委托权限。例如某作业仅包含Import GES节点，可配置GES Administrator权限和OBS OperateAccess权限即可。详细方案请参考参考：配置委托权限。 图4 配置权限 单击“确定”完成委托创建。

参考：配置委托权限 将账号的操作权限委托给DataArts Studio服务后，需要配置委托身份的权限，才可与其他服务进行交互。 为实现对权限较小化的安全管控要求，可根据作业中的节点类型，以服务为粒度，参见表1配置相应的服务Admin权限。 也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型，以对应服务API接口为粒度进行权限拆分，满足企业对权限最小化的安全管控要求。参见表2进行配置。例如包含Import GES节点的作业，您只需要创建自定义策略，并勾选ges:graph:getDetail（查看图详情），ges:jobs:getDetail（查询任务状态），ges:graph:access（使用图）这三个授权项即可。 当满足如下条件之一时，MRS集群才支持委托方式提交作业。 非安全集群。 安全集群，集群版本大于 2.1.0，并且安装了MRS 2.1.0.1及以上版本的补丁。 当MRS集群不支持委托方式提交作业时，如下节点相关作业不能配置委托。 MRS相关的节点（MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce），以及通过API方式连接的（MRS Spark SQL、MRS Hive SQL）节点。 配置服务级Admin权限 因作业执行过程中，需要往OBS写执行日志信息，因此粗粒度授权时，所有作业都需要添加OBS OperateAccess权限。 表1 配置相关节点的admin权限 节点名称 系统权限 权限描述 CDM Job、DIS Stream、DIS Dump、DIS Client DAYU Administrator 数据治理中心 服务的所有执行权限。 Import GES GES Administrator 图引擎服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） MRS Administrator MRS Fullaccess KMS Administrator MRS Administrator：RBAC策略下 MapReduce服务 的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Fullaccess：细粒度策略下MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 KMS Administrator： 数据加密 服务加密密钥的管理员权限。 MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） DAYU Administrator KMS Administrator DAYU Administrator： 数据治理 中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 DLI Flink Job、DLI SQL、DLI Spark DLI Service Admin 数据湖探索 的所有执行权限。 DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 CSS DAYU Administrator Elasticsearch Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 Elasticsearch Administrator： 云搜索服务 的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 Create OBS、Delete OBS、OBS Manager OBS OperateAccess 查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SMN SMN Administrator 消息通知 服务的所有执行权限。 配置细粒度权限（根据各服务支持的授权项，创建自定义策略） 创建自定义策略的详细操作请参见创建自定义策略。 作业执行过程中，需要向OBS中写入执行日志。当采取精细化授权方式时，任何类型的作业均需要添加OBS的如下授权项： obs:bucket:GetBucketLocation obs:object:GetObject obs:bucket:CreateBucket obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket CDM Job、DIS Stream、DIS Dump、DIS Client节点隶属于DataArts Studio模块，DataArts Studio不支持细粒度授权。因此包含这几类节点的作业，给服务配置权限仅支持DataArts Studio Administarator。 CSS不支持细粒度授权，且需要通过代理执行。因此包含这类节点的作业，需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。 SMN不支持细粒度授权，因此包含这类节点的作业，需要配置SMN Administarator权限。 表2 自定义策略 节点名称 授权项 Import GES ges:graph:access ges:graph:getDetail ges:jobs:getDetail MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） mrs:job:delete mrs:job:stop mrs:job:submit mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list kms:dek:crypto kms:cmk:get MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) DLI Flink Job、DLI SQL、DLI Spark dli:jobs:get dli:jobs:update dli:jobs:create dli:queue:submit_job dli:jobs:list dli:jobs:list_all DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) Create OBS、Delete OBS、OBS Manager obs:bucket:GetBucketLocation obs:bucket:ListBucketVersions obs:object:GetObject obs:bucket:CreateBucket obs:bucket:DeleteBucket obs:object:DeleteObject obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket

调度身份的分类 调度身份分为委托和IAM账户两大类。 委托：由于云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给这些服务，让这些服务以您的身份使用其他云服务，代替您进行一些资源运维工作。 委托可以分为： 公共委托：工作空间级别的全局委托。适用于该空间内的所有作业。配置公共委托请参考配置公共委托。 作业委托：适用于单个作业级别。配置作业委托请参考配置作业委托。 IAM账号：通过用户组统一配置，权限管理相对于委托来说，流程简便；并且使用IAM账号的兼容性更好，可支持MRS相关的节点（MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce），通过直连方式的（MRS Spark SQL、MRS Hive SQL）节点，以及目标端为DWS的ETL Job节点，解决部分MRS集群和部分ETL Job节点不支持委托方式提交作业的问题。 IAM账户可分为： 公共IAM账户：工作空间级别的全局IAM账户。适用于该空间内的所有作业。配置公共IAM账户请参考配置公共IAM账号。 执行用户：作业级别的IAM账户，适用于单个作业级别。配置执行用户请参考配置执行用户。 配置执行用户调度功能当前需申请白名单后才能使用。如需使用该特性，请联系客服或技术支持人员。

示例一 某数据运营工程师通过DataArts Studio进行数据服务工作，仅需要数据服务组件的权限。管理员如果直接赋予该数据运营工程师“开发者”的预置角色，则会出现其他组件权限过大的风险。 为了解决此问题，项目管理员可以创建一个基于“开发者”预置角色的自定义角色“Developer_DataService”，在“开发者”角色权限的基础上为其去除其他组件的增删改及操作权限，并赋予该数据运营工程师此角色，既能满足实际业务使用，也避免了权限过大的风险。 参考访问DataArts Studio实例控制台，以DAYU Administrator或Tenant Administrator账号登录DataArts Studio管理控制台。 在角色管理页面，单击“新建”，弹出“创建自定义角色”对话框。 角色名称：标识自定义角色的唯一标识，此处填写为“Developer_DataService”。 角色描述：补充对该角色的相关说明，此处填写为“基于开发者角色，仅保留数据服务权限”。 角色类型：该角色仅在简单模式空间下使用，选择为“开发&生产模式，自定义角色”。 复用预置角色：选择“开发者”，然后去勾选其他组件的新增、删除、操作、编辑权限，仅为该角色保留数据服务组件的权限和其他组件的查看权限。 图2 创建自定义角色Developer_DataService 配置完成后，单击“确定”即可新增自定义角色。 自定义角色完成后，请您参考添加工作空间成员和角色，将数据运营工程师设置为自定义角色“Developer_DataService”。

使用流程 您可通过图1了解统一权限治理的使用流程。 图1 统一权限治理使用流程图 统一权限治理支持数据权限管控、服务资源管控和Ranger权限管理，流程介绍如下： 数据权限管控流程 授权dlg_agency委托 由于数据安全使用委托时，所需的云服务权限更高。因此在使用数据安全前，需要提前为dlg_agency委托授予相关权限。 检查集群版本与权限 统一权限治理对数据连接Agent、数据源版本和用户权限等均有相应的要求。在使用前，您应先检查并准备相关配置。 同步IAM用户到数据源 将IAM上的用户信息同步到数据源，以实现不同用户访问数据源时，能够根据其自身用户信息管控用户访问数据的权限。 配置空间权限集 空间权限集作为DataArts Studio工作空间内的最大权限集合，主要用于确定整个工作空间用户可访问的权限范围。 配置权限集 权限集将用户与权限直接关联，可以新建多个用于给不同使用场景的用户关联不同的权限，可通过权限同步进行权限管控（实际使用时，更推荐通过权限集关联角色进行权限管控）。 配置通用角色 配置通用角色即在数据源上创建新角色，用于承载用户和权限之间的关联关系，可以更加直观地管理权限关系、进行权限管控。 配置纳管角色 配置纳管角色即为纳管MRS数据源上已有的角色，并继承已有角色的MRS数据源权限。 配置行级访问控制 数据安全支持成员管理视图，支持查看当前工作空间内成员的权限，并进行角色/权限集管理。 同步MRS Hive和Hetu权限 数据安全支持成员管理视图，支持查看当前工作空间内成员的权限，并进行角色/权限集管理。 申请权限 进行访问权限管理时，除了可以自上而下地通过权限集/角色方式为用户授权外，也支持自下而上的用户权限申请、审批流程。 审批权限 审批人来自权限集/角色的管理员，权限审批后即刻生效。 启用细粒度认证 配置细粒度认证后，在DataArts Studio数据开发执行脚本、测试运行作业或调度作业时，数据源将不再使用数据连接上的账号，而是使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集或队列权限中的权限管控生效。 服务资源管控流程 配置队列权限 队列权限可以为当前工作空间分配可使用的MRS Yarn和DLI队列资源，并为用户组/用户配置对应的队列权限策略。 当为工作空间分配队列资源后，在数据开发组件在为作业节点配置队列资源时，可选择的队列为当前空间下已分配的队列资源。 当为用户组/用户配置队列权限策略后，授权对象将按照策略内容被授予相应权限。 配置空间资源权限策略 数据安全支持对空间资源进行管控，例如数据连接、委托等资源。空间资源管控后，对于非授权对象的普通用户，则无权再查看并使用此资源。 Ranger权限管理流程 配置资源权限 通过统一入口创建MRS各个组件的权限策略，由Ranger组件实现权限控制。 查看权限报告 通过全面的权限报告，查看资源配置权限策略及其详情。

背景信息 只有拥有DAYU Administrator或Tenant Administrator权限的用户才可以购买DataArts Studio实例或DataArts Studio增量包。如需购买，您需要给用户授予所需的权限。 Tenant Administrator策略具有所有云服务的管理员权限（除IAM管理权限之外），为安全起见，一般不建议给IAM用户授予该权限，请谨慎操作。 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除密级权限管控策略，其他普通用户无权限操作。 密级权限管控仅支持对数据地图中已标记密级的字段在数据预览时进行权限管控，不支持对已标记密级的表进行权限管控。 用户/用户组和密级共同唯一标识一条密级权限管控策略，因此不支持创建同用户/用户组、同密级的策略。 同用户/用户组如果对应多个密级，则以最高密级为准进行密级权限管控。

创建敏感数据管控策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“敏感数据管控”，进入敏感数据管控页面。 敏感数据管控页面的策略列表中，已有数据安全预置的默认策略，该策略默认给所有用户最大的密级访问权限。 图1 进入敏感数据管控页面 单击“新建”，新建密级权限管控策略页面，参数配置参考表1。 图2 新建密级权限管控策略参数配置 创建密级权限管控策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *用户类型 选择为用户或用户组进行密级权限管控。 *用户名称 选择当前实例所有工作空间成员中的用户或用户组。 *密级 选择指定用户/用户组的指定密级，则指定用户/用户组仅能访问资产密级小于等于指定密级的资产。 *权限类别 当前仅支持数据地图中的数据预览权限。 单击“保存”，完成密级权限管控策略创建。 密级权限管控策略创建完成后，需要删除默认策略，以使新建的策略生效。

创建CDM集群并绑定EIP 如果是独立CDM服务，参考创建集群创建CDM集群；如果是作为DataArts Studio服务CDM组件使用，参考创建集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 图1 集群列表 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

相关操作 编辑策略：在hetu权限同步页面，单击对应任务操作栏中的“编辑”，即可编辑hetu权限同步策略。 删除策略：在hetu权限同步页面，单击对应任务操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在列表上方单击“删除”。 删除操作无法撤销，请谨慎操作。 查看策略详情：在hetu权限同步页面，找到需要查看的策略，单击对应任务操作栏中的“详情”，即可查看策略详情。 图3 查看策略详情

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除hetu权限同步策略，其他普通用户无权限操作。 当前仅支持Hive权限同步至同一MRS集群的Hetu。 Hetu权限同步策略需要配置Hive和Hetu catalog的对应关系。对于一个Hive源对接多个Hetu catalog场景，需要配置多个同步策略。 Hetu权限同步策略创建后，不会自动将已有Hive权限同步至Hetu。仅当Hive权限同步触发后，才会同步权限至Hetu端，另外也会因此导致权限同步所需时间变长。 当Hive权限同步触发后，如果同步权限至Hetu端发生失败，Hive权限同步不受影响。 Hetu权限同步策略删除后，不会回收已同步至Hetu的权限。 同步到Hetu端的Ranger的策略命名格式为“catalog名_schema名+表名+列名”。如果Hetu端的Ranger上已有相同资源、名称的策略，则会导致同步权限至Hetu端的失败，此时需要手动清理Hetu端的Ranger上资源、名称冲突的策略。

创建hetu权限同步策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“hetu权限同步”，进入hetu权限同步页面。 图1 进入hetu权限同步页面 单击“新建”，进入新建hetu权限同步策略页面，参数配置参考表1。 图2 新建hetu权限同步策略参数配置 创建hetu权限同步策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *策略名称 hetu权限同步策略的标识，同一个数据表上不能有同名的hetu权限同步策略。 为便于策略管理，建议名称中标明要同步的集群名和Catalog名。 策略描述 为更好地识别hetu权限同步策略，此处加以描述信息，长度不能超过255个字符。 权限源端 *数据源类型 当前仅支持MRS Hive数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 权限目标端 *数据源类型 当前仅支持MRS Hetu数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 注意，所选择的Hetu连接所在的集群应与Hive连接所在的集群一致。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 *Catalog Hetu上的数据源名称，本集群的Hive数据源名称默认为“hive”。由于Hetu支持多个Catalog对接同一个Hive，因此您也可以选择其他本集群的Catalog。 单击“提交”，完成hetu权限同步策略创建。 当Hive权限同步触发后，会同步权限至Hetu端Ranger，策略命名格式为“catalog名_schema名+表名+列名”。系统定义的Hive与Hetu间的策略映射关系如表2所示。 表2 Hive与Hetu的策略映射关系 Hive Hetu 资源映射关系 hive数据源 Hetu Catalog hive数据库 Hetu Schema hive表 Hetu表 hive列 Hetu列 权限映射关系 select select、use update insert、delete、update create create drop drop alter alter all all

环境变量 环境变量中支持定义变量和常量，环境变量的作用范围为当前工作空间。 变量是指不同的空间下取值不同，需要重新配置值，比如“工作空间名称”变量，这个值在不同的空间下配置不一样，导出导入后需要重新进行配置。 常量是指在不同的空间下都是一样的，导入的时候，不需要重新配置值。 图1 环境变量 具体应用如下： 在环境变量中已新增一个变量，“参数名”为“sdqw”，“参数值”为“wqewqewqe”。 打开一个已创建好的作业，从左侧节点库中拖拽一个“Create OBS”节点。 在节点属性页签中配置属性。 图2 Create OBS 单击“保存”后，选择“前往监控”页面监控作业的运行情况。

操作场景 本章节介绍使用CDM整库迁移功能，将本地MySQL数据库迁移到云服务RDS中。 当前CDM支持将本地MySQL数据库，整库迁移到RDS上的MySQL、PostgreSQL或者Microsoft SQL Server任意一种数据库中。这里以整库迁移到RDS上的MySQL数据库（云数据库 MySQL）为例进行介绍，使用流程如下： 创建CDM集群并绑定EIP 创建MySQL连接 创建RDS连接 创建整库迁移作业

创建CDM集群并绑定EIP 如果是独立CDM服务，参考创建集群创建CDM集群；如果是作为DataArts Studio服务CDM组件使用，参考创建集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC，选择和RDS的MySQL数据库实例所在的VPC一致，且推荐子网、安全组也与RDS上的MySQL一致。 如果安全控制原因不能使用相同子网和安全组，则可以修改安全组规则，允许CDM访问RDS。 CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问本地MySQL数据库。 图1 集群列表 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

创建CDM集群并绑定EIP 如果是独立CDM服务，参考创建集群创建CDM集群；如果是作为DataArts Studio服务CDM组件使用，参考创建集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 图1 集群列表 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

相关操作 编辑识别规则：在识别规则页面，单击对应识别规则操作栏中的“编辑”，即可修改识别规则关联的密级、分类和描述。如果为自定义规则，还支持修改识别规则和正则表达式。 编辑识别规则状态：新增的识别规则默认为启用状态。当识别规则为关闭状态时，表示该规则将不可被添加到识别规则组。 需要修改识别规则状态时，在识别规则页面单击对应识别规则中的或，即可启用或关闭对应规则。 删除识别规则：在识别规则页面，单击对应识别规则操作栏中的“删除”，即可删除识别规则。当需要批量删除时，可以在勾选识别规则后，在列表上方单击“批量删除”。 被引用的数据识别规则无法直接删除，需要先解除引用关系后才能删除。 删除操作无法撤销，请谨慎操作。 测试内置规则模板：在“内置规则模板”页签可查看所有内置规则模板，并且根据输入的自定义样例数据，测试验证内置规则模板的识别结果。

创建数据识别规则 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 在数据安全控制台左侧的导航树中单击“数据识别规则”，进入数据识别规则页面。 在“识别规则”页面单击“新建”，创建识别规则。 图1 新建识别规则 新建规则参数配置请参考表1，参数配置完成单击“确定”即可。 图2 规则配置 表1 配置识别规则参数说明 配置 说明 *规则类型 即规则所属分类，支持按模板添加内置规则和自定义规则。 *数据密级 对配置的数据进行等级划分。如果现有的分级不满足需求，请进入数据密级页面进行设置，详情请参见定义数据密级。 数据分类 对配置的数据进行分类划分。如果现有的分类不满足需求，请进入数据分类页面进行设置，详情请参见定义数据分类。 规则描述 对当前规则进行简单描述。 内置 *规则模板 规则类型选择“内置”，呈现此参数。 系统内置了80+条敏感数据识别规则，可对个人敏感信息（银行卡、信用卡等）、个人基本资料（手机号码、电子邮箱等）、网络身份标识信息（IPv4地址、IPv6地址等）等敏感信息进行识别和脱敏。内置的敏感数据识别规则可在“内置规则模板”页签查看。 选择内置规则后，可输入测试数据，测试能否通过内置规则识别。 *规则名称 规则类型选择“内置”，规则名称自动关联分类模板生成。 自定义 *规则名称 规则类型选择“自定义”，您可以自行填写分类名称，名称为必填项。建议包含规则含义，避免无意义的描述，以便于使用中能快速选择需要的规则。 说明： 定义数据识别规则，名称必须唯一。 *识别规则 规则类型选择“自定义”，呈现此参数，支持正则表达式。 当选择“无”，表示关联了该规则的敏感数据发现任务不生效。无法自动为数据资产分类，需要您手动添加分类。 *正则表达式 识别规则选择“正则表达式”时，呈现此参数。 内容识别：勾选此项后输入自定义正则表达式，该表达式将用于数据内容识别。内容识别正则表达式举例：“^男$|^女&”。 列名识别：勾选此项后输入自定义正则表达式，该表达式将用于字段名精确匹配和模糊匹配两种方式，当前支持多个字段匹配。列名识别正则表达式举例：“age|years”。 备注识别：勾选此项后输入自定义正则表达式，例如“.*comment.*”代表模糊匹配备注。

相关操作 同步权限集：权限集需要同步到数据源中权限管控才能生效。但由于角色管理基于权限集提供了更加直观、强大的权限管控能力，因此一般无需同步权限集，实际使用中推荐通过配置角色进行权限管控。 如需同步权限集，则在权限集页面，单击列表中对应权限集操作栏中的“同步”，即可将权限集同步至数据源。当需要批量同步时，可以在勾选权限集后，在列表上方单击“同步”。 编辑权限集：在权限集页面，单击列表中对应权限集操作栏中的“编辑”，即可修改权限集名称、管理员、描述信息。 删除权限集：在权限集页面，单击列表中对应权限集操作栏中的“删除”，在弹窗中再次确认后，即可删除权限集。当需要批量删除时，可以在勾选权限集后，在列表上方单击“删除”。 注意，已配置权限、用户或有子权限集的权限集不可删除。如需删除应先清理权限集的相关配置。 权限集删除后将被转移至回收站中，您可以在30天内进行还原，在回收站中超过30天的数据将被自动删除。详见管理回收站章节。