华为云用户手册

创建Kafka权限策略 在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[ CDM 返回为空：[404 NOT FOUND]]”，请在管理中心参考 MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图19 资源权限配置页面 单击待创建权限策略Kafka组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图20 新建kafka权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图21 配置Kafka权限策略 表8 Kafka权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 策略条件 指定可访问Kafka主题的IP地址范围。 Topic Kafka集群的消息主题。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 策略条件：指定可访问Kafka主题的IP地址范围。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 策略条件：指定可访问Kafka主题的IP地址范围。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Storm权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图22 资源权限配置页面 单击待创建权限策略Storm组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图23 新建Storm权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图24 配置Storm权限策略 表9 Storm权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 Topology 该参数表示Storm集群中的任务。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Hive行级过滤器权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图10 资源权限配置页面 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“行级过滤器”页签，单击“创建”，新建权限策略。 图11 创建Hive行级过滤器权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图12 配置Hive权限策略参数 表5 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 行级过滤器 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 行级过滤器：根据字段内容进行过滤，格式一般为：属性=属性值。例如：state=1。

创建HBase权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图13 资源权限配置页面 单击待创建权限策略HBase组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图14 创建HBase权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图15 配置HBase权限策略 表6 HBase权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 列族 必填项，此项表示HBase中Column Family，多列的集合。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Yarn权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图16 资源权限配置页面 单击待创建权限策略Yarn组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图17 新建Yarn权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，完成策略配置。 图18 配置Yarn权限策略 表7 Yarn权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 队列 Yarn服务中的资源调度队列。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Hive脱敏权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图7 资源权限配置页面 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“脱敏”页签，单击“创建”，新建权限策略。 图8 新建权限策略界面 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图9 配置Hive权限策略界面 表4 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 脱敏 定义用户或用户组访问数据的脱敏方式。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 脱敏方式：按照该参数选定的值对Hive表中需要进行权限控制的列进行脱敏。

创建Hive访问权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图4 资源权限配置页面 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“访问”页签，单击“创建”，新建权限策略。 图5 新建权限策略入口 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图6 配置Hive权限策略 权限策略参数说明表： 表3 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

支持访问控制的MRS组件及权限列表 通过Ranger可以对MRS集群（MRS集群版本为3.0.0及以上）中的组件进行集成，实现组件的细粒度访问权限控制。目前已经支持的组件及相关权限如表1所示。具体权限解释可参考MRS配置组件权限策略。 表1 支持的组件及权限列表 组件名 权限说明 HDFS HDFS文件的权限： Read：读权限 Write：写权限 Excute：执行权限 Hive Hive数据库、数据表、列的权限： Select：查询权限 Update：更新权限 Create：创建权限 Drop：drop操作权限 Alter：alter操作权限 All：所有执行权限 Temporary UDF Admin：临时UDF管理权限 Yarn Yarn队列权限： submit-app：提交队列任务权限 admin-queue：管理队列任务权限 HBase HBase列、列族的权限： Read：读权限 Write：写权限 Create：创建权限 Admin：管理员权限 Kafka Kafka的Topic权限： Publish：生产权限 Consume：消费权限 Configure：topic扩容权限 Describe：查询权限 Create：创建主题权限 Delete：删除主题权限 Describe Configs：查询配置权限 Alter Configs：修改配置权限 Storm Storm的Topology权限： Submit Topology：提交拓扑 File Upload：上传文件 File DownLoad：下载文件 Kill Topology：删除拓扑 Rebalance：Rebalance权限 Activate：激活权限 Deactivate：去激活权限 Get Topology Conf：获取拓扑配置 Get Topology：获取拓扑 Get User Topology：获取用户拓扑 Get Topology Info：获取拓扑信息 Upload New Credential：上传新的凭证

创建HDFS权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 如果报错“获取资源服务失败，由于[CDM返回为空：[404 NOT FOUND]]”，请在管理中心参考MRS Ranger数据连接参数说明，排查Ranger数据连接的RangerAdmin业务IP和Ranger服务端口是否正确。 图1 资源权限配置页面 单击待创建权限策略HDFS组件下“hacluster”的“配置” ，进入配置界面单击“创建”，新建权限策略。 图2 新建权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图3 配置权限策略 表2 配置HDFS权限策略参数说明 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 资源路径 访问权限控制的HDFS路径。 递归 开启表示资源路径为递归方式。关闭表示资源路径为非递归方式。默认开启。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

前提条件 已在管理中心创建Ranger类型的数据连接，并确保已参考MRS Ranger数据连接参数说明填写正确的RangerAdmin业务IP和Ranger服务端口。 在管理中心测试Ranger数据连接时，不会校验Ranger业务IP和服务端口，即使填写错误也不会提示，因此建议进行人工检查。 已开启对应MRS集群的Ranger鉴权功能，安全模式默认开启Ranger鉴权，普通模式默认关闭Ranger鉴权。详情请参考启用Ranger鉴权。

功能介绍 数据安全包括如下功能： 统一权限治理 统一权限治理基于MRS、DWS、 DLI 服务，提供数据权限管理能力。您可以创建空间权限集、权限集或角色，并通过这些权限配置模型实现MRS、DWS、DLI数据的访问控制，按需为用户、用户组分配最小权限，从而降低企业数据信息安全风险。 敏感 数据治理 敏感数据识别通过用户创建或内置的数据识别规则和规则组自动发现敏感数据并进行数据分级分类标注。 隐私保护管理 隐私保护管理可以通过数据静态脱敏、动态脱敏、数据水印、文件水印和动态水印等方式来防止敏感数据遭到有意或无意的误用、泄漏或盗窃，从而帮助企业采取合理措施来保护其敏感数据的机密性和完整性、可用性。 数据安全运营 提供数据安全诊断能力、 数据湖 访问审计日志查询能力，方便用户更好的做到安全管控。

特点优势 数据安全融合了不同的大数据服务进行统一入口管理，包括MRS、DWS、DLI，统一的权限配置入口能力，提高了易用性和可维护性。 数据安全以数据为中心，提供了围绕数据全链路的数据安全能力，如统一权限治理、敏感数据治理、隐私保护策略管理。 统一权限治理支持按照项目空间分配空间权限集（每个项目空间可以管理的库表权限范围），空间内按照角色给不同用户、用户组进行权限分配，跨空间依赖支持灵活按需的权限申请审批能力。 敏感数据管理支持敏感数据的分级分类，自动识别发现，以及基于敏感数据等级的安全管控策略能力。 隐私保护管理提供了静态与动态的数据脱敏能力、数据水印能力，满足业务需求同时保证数据安全。

启动作业调度 元数据采集完成后，系统基于最新的作业调度实例产生相关的数据血缘关系。 参考访问DataArts Studio实例控制台，登录DataArts Studio管理控制台。 在DataArts Studio控制台首页，选择对应工作空间的“数据开发”模块，进入数据开发页面。 在数据开发控制台，单击左侧导航栏中的作业开发按钮，进入作业开发页面后，打开已完成血缘配置的作业。 在数据开发中，当作业进行“执行调度”时，系统开始解析血缘关系。 测试运行不会解析血缘。 图1 作业调度 待调度作业成功运行完成后，等待约1分钟左右，数据血缘关系即可生成成功。

自动血缘解析 自动血缘解析无需进行手动配置，当数据开发作业中包含如表1所示节点及场景时，系统支持自动解析血缘关系。 解析SQL节点的血缘时，支持多SQL解析及列级血缘解析，单条SQL语句不支持SQL中含有分号的场景。 表1 支持自动血缘解析的作业节点及场景 作业节点 支持场景 DLI SQL 支持解析DLI中表与表之间数据插入产生的血缘。 支持通过建表语句产生的OBS文件到DLI表之间的血缘。 DWS SQL 支持Insert into等DML操作产生的DWS表之间的血缘。 MRS Hive SQL 支持Insert into/overwrite等DML操作产生的MRS表之间的血缘。 MRS Spark SQL 支持Insert into/overwrite等DML操作产生的MRS表之间的血缘。 CDM Job 支持MRS Hive、DLI、DWS、RDS、OBS以及 CSS 之间表文件迁移所产生的血缘。 ETL Job 支持DLI、OBS、MySQL以及DWS之间的ETL任务产生的血缘。

什么是数据血缘 大数据时代，数据爆发性增长，海量的、各种类型的数据在快速产生。这些庞大复杂的数据信息，通过联姻融合、转换变换、流转流通，又生成新的数据，汇聚成数据的海洋。 数据的产生、加工融合、流转流通，到最终消亡，数据之间自然会形成一种关系。我们借鉴人类社会中类似的一种关系来表达数据之间的这种关系，称之为数据的血缘关系。与人类社会中的血缘关系不同，数据的血缘关系还包含了一些特有的特征： 归属性：一般来说，特定的数据归属特定的组织或者个人，数据具有归属性。 多源性：同一个数据可以有多个来源（多个父亲）。一个数据可以是多个数据经过加工而生成的，而且这种加工过程可以是多个。 可追溯性：数据的血缘关系，体现了数据的生命周期，体现了数据从产生到消亡的整个过程，具备可追溯性。 层次性：数据的血缘关系是有层次的。对数据的分类、归纳、总结等对数据进行的描述信息又形成了新的数据，不同程度的描述信息形成了数据的层次。 DataArts Studio生成的血缘关系图如图1所示，为数据表对象，为作业节点对象，通过对象和箭头的编排表示血缘信息。从血缘关系图中可以看到，wk_02表数据是由wk_01表数据经过hive_1作业节点加工而生成的，wk_02表数据经由hive_2作业节点加工又分别生成了wk_03、wk_04和wk_05的表数据。 图1 数据血缘关系示例

DataArts Studio数据血缘实现方案 数据血缘的产生： DataArts Studio数据血缘解析方案包含自动分析血缘和手动配置血缘两种方式。一般推荐使用自动血缘解析的方式，无需手动配置即可生成血缘关系，在不支持自动血缘解析的场景下，再手动配置血缘关系。 自动血缘解析，是由系统解析数据开发作业中的数据处理和数据迁移类型节点后自动产生的，无需进行手动配置。支持自动血缘解析的节点类型和场景请参见自动血缘解析。 手动配置血缘，是在数据开发作业节点中，自定义血缘关系的输入表和输出表。注意手动配置血缘时，此节点的自动血缘解析将不生效。支持手动配置血缘的节点类型请参见手动配置血缘。 数据血缘的展示： 首先在数据目录组件完成元数据采集任务，当数据开发作业满足自动血缘解析要求或已手动配置血缘，然后成功完成作业调度后，则可以在数据目录模块可视化查看数据血缘关系。

场景四：更新数据目录中的元数据，添加新元数据 ，并从数据目录中删除元数据 用户的数据库中数据表有删除的情况，采集任务能够删除数据目录中对应的数据表。 例如数据库删除table1的情况下： 采集前的数据表元数据：table1，table2，table3 采集后的数据表元数据：table2，table3 按照如下配置，采集任务会删除数据目录中的table1。 进入DataArts Studio控制台首页的数据目录模块。 单击左侧导航的“任务管理”，进入任务管理页面。 在任务管理页面单击“新建”，新建一个元数据采集任务。 配置任务信息，如下图所示。 图7 配置任务信息 单击“下一步”，配置调度属性如下图所示。 图8 配置调度属性 单击“提交”，完成采集任务的创建。 单击任务管理列表中的“运行”或“启动调度”，跳转到任务监控页面并查看任务状态。

场景一：仅添加新元数据 用户的数据库中新增的数据表，采集任务仅采集新增的表。 例如新增table4的情况下： 采集前的数据表元数据：table1，table2，table3 采集后的数据表元数据：table1，table2，table3，table4 按照下面的配置，采集任务仅会采集table4。（前提：table1-table3已经在数据目录中） 进入DataArts Studio控制台首页的数据目录模块。 单击左侧导航的“任务管理”，进入任务管理页面。 在任务管理页面单击“新建”，新建一个元数据采集任务。 配置任务信息，如下图所示。 图1 配置任务信息 单击“下一步”，配置调度属性如下图所示。 图2 配置调度属性 单击“提交”，完成采集任务的创建。 单击任务管理列表中的“运行”或“启动调度”，跳转到任务监控页面并查看任务状态。

场景二：更新数据目录中的元数据，添加新元数据 用户的数据库中新增了数据表，采集数据源中指定的所有表。 例如新增table4的情况下： 采集前的数据表元数据：table1，table2，table3 采集后的数据表元数据：table1，table2，table3，table4 按照如下配置，采集任务会采集default下所有的表（table1-table4）。 进入DataArts Studio控制台首页的数据目录模块。 单击左侧导航的“任务管理”，进入任务管理页面。 在任务管理页面单击“新建”，新建一个元数据采集任务。 配置任务信息，如下图所示。 图3 配置任务信息 单击“下一步”，配置调度属性如下图所示。 图4 配置调度属性 单击“提交”，完成采集任务的创建。 单击任务管理列表中的“运行”或“启动调度”，跳转到任务监控页面并查看任务状态。

场景三：仅更新数据目录中的元数据 用户的数据库中数据表有新增的情况，采集任务仅采集数据目录中已经存在的表。 例如新增table4的情况下： 采集前的数据表元数据：table1，table2，table3 采集后的数据表元数据：table1，table2，table3 按照如下配置，采集任务仅采集table1，table2和table3。 进入DataArts Studio控制台首页的数据目录模块。 单击左侧导航的“任务管理”，进入任务管理页面。 在任务管理页面单击“新建”，新建一个元数据采集任务。 配置任务信息，如下图所示。 图5 配置任务信息 单击“下一步”，配置调度属性如下图所示。 图6 配置调度属性 单击“提交”，完成采集任务的创建。 单击任务管理列表中的“运行”或“启动调度”，跳转到任务监控页面并查看任务状态。

资产筛选 对于技术资产搜索结果，可以基于条件进行筛选，支持的筛选条件类别如下： 数据连接：数据资产所属数据连接名称。 类型：数据资产所属类型。 分类：数据资产所属分类。 标签：数据资产所包含的标签。 密级：数据资产所属密级。 如下通过资产类型过滤搜索结果，其他类同。 在类型过滤区域，选择“Table”，搜索结果显示属于Table类型的资产。 类型过滤条件按照名称排序，默认只显示前五种类型，单击“全部”，显示系统目前支持的所有资产类型。

资产详情 本文以查看技术资产中的数据表详情为例进行说明。 在技术资产搜索结果列表，单击任意数据表，进入数据表详情页面。 在“详情”页签，可查看技术元数据基本属性、编辑描述；可给数据表添加标签和密级；可给数据表的列和OBS对象添加或删除分类、标签和密级。 图1 查看详情 在“权限”页签，可申请数据表权限或给其他用户授权。 在未上线数据安全组件的区域，申请权限和授权流程由数据目录组件提供，详见配置数据表权限（待下线）。 在已上线数据安全组件的区域，申请权限和授权流程由数据安全组件提供。 在已上线数据安全组件的区域，数据表权限功能已由数据安全组件提供，不再作为数据目录组件能力。 数据安全组件当前在上海一、上海二、乌兰察布一、华南广州和北京四区域部署上线。 图2 权限页签详情 在“列属性”页签，可查看数据表的列属性，给数据列添加或删除分类、标签和密级，并编辑描述。 图3 管理列属性 在“血缘”页签，可查看数据表的血缘关系，包括血缘和影响。如何配置数据血缘请参见通过数据目录查看数据血缘关系。数据开发作业配置了支持自动血缘的节点或手动配置节点的血缘关系后，作业执行时可以自动解析，在数据目录中展示数据血缘。 在“概要”页签，查看数据表的概要信息（当前仅支持DWS、DLI、OBS类型数据表查看概要，概要采样方式以元数据采集任务配置为准）。 单击“更新”，可更新概要信息。 在“数据预览”页签，预览当前表的业务数据。根据列的分类信息，支持对预览数据根据配置脱敏策略的设置进行实时脱敏。 数据预览支持的数据源类型：DWS、DLI、Hive、MySQL。 列的分类信息支持在新建采集任务时自动设置和在数据分类菜单中手动添加两种方式。其中仅DWS、DLI支持新建采集任务时自动设置分类。 在“变更记录”页签，查看数据表变更详情。

约束限制 业务资产和指标资产来自于数据架构组件，会随数据架构同步的数据更新，但不支持随之删除。如需删除需要在数据目录中定位到资产后手动删除。 技术资产中的数据连接信息来自于管理中心的数据连接，会随管理中心同步的数据更新，但不支持随之删除。如需删除需要在数据目录中定位到资产后手动删除。 技术资产中的库表列等信息来自于元数据采集任务，是否更新和自动删除取决于元数据采集任务的参数配置，详情请参见配置元数据采集任务。 技术资产中的数据血缘关系更新依赖于作业调度，数据血缘关系是基于最新的作业调度实例产生的。需要注意的是，数据血缘关系删除需要通过删除作业或删除作业元数据的方式进行，仅将作业停止调度不会触发血缘关系的删除。

约束限制 业务资产和指标资产来自于数据架构组件，会随数据架构同步的数据更新，但不支持随之删除。如需删除需要在数据目录中定位到资产后手动删除。 技术资产中的数据连接信息来自于管理中心的数据连接，会随管理中心同步的数据更新，但不支持随之删除。如需删除需要在数据目录中定位到资产后手动删除。 技术资产中的库表列等信息来自于元数据采集任务，是否更新和自动删除取决于元数据采集任务的参数配置，详情请参见配置元数据采集任务。 技术资产中的数据血缘关系更新依赖于作业调度，数据血缘关系是基于最新的作业调度实例产生的。需要注意的是，数据血缘关系删除需要通过删除作业或删除作业元数据的方式进行，仅将作业停止调度不会触发血缘关系的删除。

查看工作空间内的数据资产 数据地图围绕数据搜索，服务于数据分析、数据开发、数据挖掘、数据运营等数据表的使用者和拥有者，提供方便快捷的数据搜索服务，拥有功能强大的血缘信息及影响分析。 搜索：在进行数据分析前，使用数据地图进行关键词搜索，帮助快速缩小范围，找到对应的数据。 详情：使用数据地图根据表名直接查看表详情，快速查阅明细信息，掌握使用规则。 血缘：通过数据地图的血缘分析可以查看每个数据表的来源、去向，并查看每个表及字段的加工逻辑。 父主题： 查看工作空间数据地图

前提条件 元数据采集支持丰富的数据源类型，对于DWS、DLI、MRS HBase、MRS Hive、RDS（MySQL）、RDS（PostgreSQL）和ORACLE类型的数据源，首先需要在管理中心创建数据连接。如需采集其他数据源（如OBS、 CS S、GES等）元数据，无需在管理中心创建数据连接。 采集Hudi元数据前，需要先在Hudi表开启“同步hive表配置”，然后才能通过采集MRS Hive元数据的方式采集Hudi表的元数据。

元数据简介 按照传统的定义，元数据（Metadata）是关于数据的数据。元数据打通了源数据、 数据仓库 、数据应用，记录了数据从产生到消费的全过程。元数据主要记录数据仓库中模型的定义、各层级间的映射关系、监控数据仓库的数据状态及ETL的任务运行状态。在数据仓库系统中，元数据可以帮助数据仓库管理员和开发人员非常方便地找到其所关心的数据，用于指导其进行数据管理和开发工作，提高工作效率。 在DataArts Studio中，元数据是数据的描述数据，可以为数据说明其属性（数据连接、类型、名称、大小等），或其相关数据（位于拥有者、标签、分类、密级等）。 元数据按用途的不同，可以分为两类：技术元数据（Technical Metadata）和业务元数据（Business Metadata）。 技术元数据是存储关于数据仓库系统技术细节的数据，是用于开发和管理数据仓库使用的数据。在DataArts Studio中，技术元数据即为技术资产，显示数据库、数据表、数据量的数量及其详情。 业务元数据从业务角度描述了数据仓库中的数据，它提供了介于使用者和实际系统之间的语义层，使得不懂计算机技术的业务人员也能够“读懂”数据仓库中的数据。在DataArts Studio中，业务元数据包含业务资产和指标资产，业务资产显示业务对象、逻辑实体、业务属性的数量及其详情，指标资产显示业务指标及其详情。 DataArts Studio中的技术元数据来源于元数据采集任务，您需要在创建并运行元数据采集任务后才能在数据地图中查看元数据。 父主题： 采集数据源的元数据

操作步骤 建立跨源数据连接。 创建DLI数据连接。在DataArts Studio管理中心模块，单击创建数据连接，数据连接类型选择“ 数据湖探索 （DLI）”，输入数据连接名称，单击“测试”，提示连接成功，单击“确定”。 创建DWS数据连接。在DataArts Studio管理中心模块，单击创建数据连接，数据连接类型选择“数据仓库服务（DWS）”，输入数据连接名称，设置其他参数，如下图所示，单击“测试”，提示连接成功，单击“确定”。 创建对账作业。 在DataArts Studio数据质量模块，单击左侧导航菜单“对账作业”。 单击“新建”，配置对账作业的基本信息，如下图所示。 图1 配置基本信息 单击“下一步”，进入规则配置页面。您需要单击规则卡片中的，然后配置对账规则，如下图所示。 需要分别配置源端和目的端的信息。配置源端连接请参见DWS数据连接参数说明，配置目的端连接请参见DLI数据连接参数说明。 配置告警条件，其中单击左侧的表行数（${1_1}）表示左侧源端选中表的行数，单击右侧表行数（${2_1}）表示目的端表行数。此处配置告警条件为${1_1}!=${2_1}，表示当左侧表行数与右侧表行数不一致时，触发报警并显示报警状态。 单击“下一步”，配置订阅信息，如下图所示。 勾选触发告警表示作业报警时发送通知到对应的smn主题，勾选运行成功表示不报警时发送通知到 SMN 主题。 单击“下一步”，配置调度方式，如下图所示。 单次调度表示需要手动触发运行，周期性调度表示会按照配置定期触发作业运行。此处以当天配置为例，设置每15分钟触发运行一次对账作业为例的配置。 单击“提交”，对账作业创建完成。 查看对账作业。 单击对应的对账作业操作列中的运行链接，运行对账作业后，自动跳转到运维管理页面。 单击结果&日志查看运行结果和运行日志，等待作业运行结束后，如下图所示。

操作步骤 在DataArts Studio控制台首页，选择对应工作空间的“数据质量”模块，进入数据质量页面。 创建规则模板。 单击左侧导航“规则模板”，默认展示系统自定义的规则。数据质量的规则包含6个维度，分别是：完整性、唯一性、及时性、有效性、准确性、一致性。 可选：单击“新建”，可自定义创建规则。 本例使用系统自定义的规则即可。 创建质量作业。 单击左侧导航“质量作业”。 单击“新建”，配置质量作业的基本信息，如下图所示。 单击“下一步”，进入规则配置页面。您需要单击规则卡片中的，然后配置规则信息，如下图所示。 单击“下一步”，配置告警信息，如下图所示。 单击“下一步”，配置订阅信息，如下图所示。 单击“下一步”，配置调度信息，如下图所示。 单击“提交”，完成质量作业的创建。 在质量作业表中，单击操作列的“运行”，跳转到运维管理模块。 待质量作业运行成功后，单击左侧导航菜单的“质量报告” 默认展示技术报告，如下图所示。 图1 技术报告 单击“业务报告”页签，查看业务报告，如下图所示。 图2 业务报告

操作步骤 在DataArts Studio控制台首页，选择对应工作空间的“数据质量”模块，进入数据质量页面。 新建业务指标。 单击左侧导航“指标管理”。 单击页面上方的“新建”，如下图所示。 单击“试跑”，查看试跑运行成功的结果。 单击“保存”，完成指标的创建。 新建规则。 单击左侧导航“规则管理”。 单击页面上方的“新建”，创建第一条规则。 输入参数值，如下图所示。 单击“保存”。 单击页面上方的“新建”，创建第二条规则。 输入参数值，如下图所示。 单击“保存”。 新建业务场景。 单击左侧导航“业务场景管理”。 单击页面上方的“新建”，输入场景的基本配置参数，如下图所示。 单击“下一步”，输入规则组的配置参数，如下图所示。 单击“下一步”，配置订阅信息，如下图所示。 单击“下一步”，配置调度信息，如下图所示。 单击“提交”，完成作业场景的创建。 在业务场景管理列表中，单击操作列的“运行”，跳转到运维管理模块。 单击右上角的刷新按钮，可以查看业务场景的运行状态为成功。 单击运行结果，可查看具体的坪效结果。