华为云用户手册

查看数据访问日志 在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“数据访问审计”，进入审计日志页面。 图1 数据访问审计 您可以通过切换页签，查看不同数据源的审计日志。日志范围默认1小时，支持自定义时段查询，自定义时段时的最大查询时间间隔为一个月。 DWS审计日志：日志列表默认使用最新DWS数据连接。单击查看日志详情，可查看当前日志的全量信息。 DWS审计日志支持导出，单击“导出”后，会下载当前页的json数据。 图2 DWS审计日志列表 MRS Hive审计日志：MRS Hive日志列表默认不展示日志内容，而是支持根据配置条件进行检索，检索结果按照页签呈现，支持展示最多5个检索结果页签。 图3 MRS Hive审计日志列表 DLI 审计日志：DLI日志列表默认展示日志信息。点击日志名查看日志详情，可查看当前日志的全量信息。 图4 DLI审计日志列表

前提条件 为实现MRS Hive数据源的数据访问审计，需要满足如下条件： MRS Hive数据连接中选择Agent代理的 CDM 集群为2.10.0.300及以上版本。 MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。 为实现DWS数据源的数据访问审计，需要满足如下条件： 已开启DWS集群的审计功能开关audit_enabled。 审计功能开关默认开启，如果已关闭则请参考修改数据库参数章节将audit_enabled设置为ON。 已开启需要审计的审计项。 DWS各类审计项及其开启方法，请参考设置数据库审计日志章节。 对于DWS数据源，未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录。因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前 IAM 用户身份查看审计记录）。

相关操作 编辑策略：在hetu权限同步页面，单击对应任务操作栏中的“编辑”，即可编辑hetu权限同步策略。 删除策略：在hetu权限同步页面，单击对应任务操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在列表上方单击“删除”。 删除操作无法撤销，请谨慎操作。 查看策略详情：在hetu权限同步页面，找到需要查看的策略，单击对应任务操作栏中的“详情”，即可查看策略详情。 图3 查看策略详情

创建hetu权限同步策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“hetu权限同步”，进入hetu权限同步页面。 图1 进入hetu权限同步页面 单击“新建”，进入新建hetu权限同步策略页面，参数配置参考表1。 图2 新建hetu权限同步策略参数配置 创建hetu权限同步策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *策略名称 hetu权限同步策略的标识，同一个数据表上不能有同名的hetu权限同步策略。 为便于策略管理，建议名称中标明要同步的集群名和Catalog名。 策略描述 为更好地识别hetu权限同步策略，此处加以描述信息，长度不能超过255个字符。 权限源端 *数据源类型 当前仅支持MRS Hive数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 权限目标端 *数据源类型 当前仅支持MRS Hetu数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 注意，所选择的Hetu连接所在的集群应与Hive连接所在的集群一致。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 *Catalog Hetu上的数据源名称，本集群的Hive数据源名称默认为“hive”。由于Hetu支持多个Catalog对接同一个Hive，因此您也可以选择其他本集群的Catalog。 单击“提交”，完成hetu权限同步策略创建。 当Hive权限同步触发后，会同步权限至Hetu端Ranger，策略命名格式为“catalog名_schema名+表名+列名”。系统定义的Hive与Hetu间的策略映射关系如表2所示。 表2 Hive与Hetu的策略映射关系 Hive Hetu 资源映射关系 hive数据源 Hetu Catalog hive数据库 Hetu Schema hive表 Hetu表 hive列 Hetu列 权限映射关系 select select、use update insert、delete、update create create drop drop alter alter all all

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除hetu权限同步策略，其他普通用户无权限操作。 当前仅支持Hive权限同步至同一MRS集群的Hetu。 Hetu权限同步策略需要配置Hive和Hetu catalog的对应关系。对于一个Hive源对接多个Hetu catalog场景，需要配置多个同步策略。 Hetu权限同步策略创建后，不会自动将已有Hive权限同步至Hetu。仅当Hive权限同步触发后，才会同步权限至Hetu端，另外也会因此导致权限同步所需时间变长。 当Hive权限同步触发后，如果同步权限至Hetu端发生失败，Hive权限同步不受影响。 Hetu权限同步策略删除后，不会回收已同步至Hetu的权限。 同步到Hetu端的Ranger的策略命名格式为“catalog名_schema名+表名+列名”。如果Hetu端的Ranger上已有相同资源、名称的策略，则会导致同步权限至Hetu端的失败，此时需要手动清理Hetu端的Ranger上资源、名称冲突的策略。

创建行级访问控制策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“行级访问控制”，进入行级访问控制页面。 图1 进入行级访问控制页面 单击“新建”，进入新建行级访问控制策略页面，参数配置参考表1。 图2 新建行级访问控制策略参数配置 创建行级访问控制策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *策略名称 行级访问控制策略的标识，同一个数据表上不能有同名的行访问控制策略。 为便于策略管理，建议名称中标明要控制的对象和内容规则。 *数据源类型 当前仅支持DWS数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 *集群名称 无需选择，自动匹配数据连接中的数据源集群。 *数据库 选择行数据所在的数据库。 *数据表 选择行数据所在的数据表。选择后系统自动展示所选的表结构。 *SQL操作 选择需要控制的操作（SELECT、UPDATE、DELETE、ALL，ALL表示会影响SELECT、UPDATE、DELETE三种操作），暂不支持控制写入操作（INSERT、MERGE INTO）。 当选择SELECT时，SELECT类操作受行访问控制的影响，所选用户组/用户只能查看到满足表达式条件的行数据，受影响的操作包括SELECT，UPDATE ... RETURNING，DELETE ... RETURNING。 当选择UPDATE时，UPDATE类操作受行访问控制的影响，所选用户组/用户只能更新满足表达式条件的行数据，受影响的操作包括UPDATE，UPDATE ... RETURNING，SELECT ... FOR UPDATE/SHARE。 当选择DELETE时，DELETE类操作受行访问控制的影响，所选用户组/用户只能删除满足表达式条件的行数据，受影响的操作包括DELETE，DELETE ... RETURNING。 *用户组/用户 指定当前工作空间成员中的用户或用户组。 指定的用户或用户组按照所选的“SQL操作”进行操作时，只能操作满足“表达式”条件的行级数据。 当选择SELECT时，SELECT类操作受行访问控制的影响，所选用户组/用户只能查看到满足表达式条件的行数据，受影响的操作包括SELECT，UPDATE ... RETURNING，DELETE ... RETURNING。 当选择UPDATE时，UPDATE类操作受行访问控制的影响，所选用户组/用户只能更新满足表达式条件的行数据，受影响的操作包括UPDATE，UPDATE ... RETURNING，SELECT ... FOR UPDATE/SHARE。 当选择DELETE时，DELETE类操作受行访问控制的影响，所选用户组/用户只能删除满足表达式条件的行数据，受影响的操作包括DELETE，DELETE ... RETURNING。 *表达式 填写行数据的表达式。只有满足表达式的行数据，才允许被指定用户按照所选的“SQL操作”进行操作。格式如下： `目标字段`="操作值" 建议表达式目标字段以反引号包裹，操作值以双引号包裹，需要匹配多个行数据时，可以用AND拼接，例如： `role`="test" AND `department`="sales" 单击“提交”，完成行级访问控制策略创建。行级访问控制策略创建完成后，需要手动单击“同步”，将该策略同步到数据源中。

相关操作 同步策略：在行级访问控制页面，单击对应任务操作栏中的“同步”，即可将该策略同步到数据源中。当需要批量同步时，可以在勾选策略后，在列表上方单击“同步”。 只有处于“同步成功”状态的策略才能生效。如果策略同步失败，可通过查看策略详情查看策略运行日志，通过日志排查同步失败原因。待问题修复后请重新同步，如果仍同步失败，请联系技术支持人员协助处理。 编辑策略：在行级访问控制页面，单击对应任务操作栏中的“编辑”，即可编辑行级访问控制策略。 删除策略：在行级访问控制页面，单击对应任务操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在列表上方单击“删除”。 删除操作无法撤销，请谨慎操作。 查看策略详情：在行级访问控制页面，找到需要查看的策略，单击策略名即可查看策略详情。 图3 查看策略详情

前提条件 新建DWS行级访问控制策略前，已在管理中心创建 数据仓库 服务（DWS）类型的数据连接，请参考创建DataArts Studio数据连接。DWS数据连接中的账户要具备待控制表的GRANT权限（数据库对象创建后，默认只有对象所有者或者系统管理员可以通过GRANT命令将对象的权限授予其他用户）。 行级访问控制为指定用户/用户组在数据源上关联策略，因此需要先将IAM上的用户信息同步到数据源上，详见同步IAM用户到数据源。 如果希望在DataArts Studio数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权以实现行级访问控制策略生效，则需要启用细粒度认证。 为确保行级访问控制策略生效，须确保策略中指定的用户已具备待控制操作的表权限，同时需要将表所属模式的USAGE权限授予该用户。可通过如下命令为指定的user1，user2，user3授权。 GRANT USAGE ON SCHEMA schema_name TO user1,user2,user3; GRANT SELECT,UPDATE,DELETE ON TABLE table_name TO user1,user2,user3;

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除行级访问控制策略，其他普通用户无权限操作。 当前行级访问控制策略仅支持DWS数据源，且不支持DWS逻辑集群。DWS数据连接中的账户要具备待控制表的GRANT权限（数据库对象创建后，默认只有对象所有者或者系统管理员可以通过GRANT命令将对象的权限授予其他用户）。 行级访问控制为指定用户/用户组在数据源上关联策略，因此需要先将IAM上的用户信息同步到数据源上，详见同步IAM用户到数据源。 当前行级访问控制支持影响数据表的读取操作（SELECT、UPDATE、DELETE、ALL，ALL表示会影响SELECT、UPDATE、DELETE三种操作），暂不支持影响数据表的写入操作（INSERT、MERGE INTO）。 行级访问控制策略名称是针对表的，同一个数据表上不能有同名的行访问控制策略；对不同的数据表，可以有同名的行访问控制策略。 支持对行存表、行存分区表、列存表、列存分区表、复制表、unlogged表、hash表定义行级访问控制策略，不支持HDFS表、外表、临时表定义行级访问控制策略。 不支持对视图定义行级访问控制策略。 同一张表上可以创建多个行级访问控制策略，一张表最多创建100个行访级问控制策略。 具有DWS管理员权限的用户和初始运维用户(Ruby)不受行访问控制影响，可以查看表的全量数据。 通过SQL语句、视图、函数、存储过程查询包含行级访问控制策略的表，都会受影响。 同步行访级问控制策略后，不支持对行访问控制策略依赖的列进行类型修改。

前提条件 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限给当前空间分配可用的队列资源、配置MRS队列属性（离线/实时）以及为指定的队列配置用户权限策略，另外工作空间管理员用户也可以为用户组/用户配置队列权限策略。 配置队列权限前，已在管理中心创建 数据湖探索 （DLI）和 MapReduce服务 （MRS Ranger）类型的数据连接，请参考创建DataArts Studio数据连接。 配置MRS Yarn队列权限前，需要参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。 MRS Yarn队列权限的策略生效，需要配置YARN严格权限控制，即设置参数“yarn.acl.enable”为true，具体请参见参考：配置Yarn严格权限控制。

约束与限制 当前分配队列资源只支持MRS Yarn队列。队列权限管控只支持MRS Yarn和DLI队列，且由于DLI限制暂不支持为DLI default队列授权。 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时，才支持MRS Yarn队列权限管控。 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限给当前空间分配可用的队列资源、配置MRS队列属性（离线/实时）以及为指定的队列配置用户权限策略，另外工作空间管理员用户也可以为用户组/用户配置队列权限策略。 当前工作空间分配的队列资源和配置的队列权限并无绑定关系，队列权限策略实际上落在数据源配置中。因此，当删除当前工作空间的队列资源后，已配置的队列权限策略依然生效；重新添加队列资源后，权限依然可见。 已配置的队列权限策略借由数据源的权限管控能力实现，因此也可以在数据源（如MRS Ranger策略和DLI队列管理）处查看已配置的策略。如果在数据源处删掉队列策略，则在数据安全组件处不会自动删除，需要您手动在数据安全组件处清理该策略。 仅MRS Yarn队列支持配置队列属性（离线/实时），且同一队列在不同工作空间下支持指定为不同属性。 为DLI队列的授权时，当前由于DLI限制只支持授权给用户，不支持授权给用户组。

相关操作 删除队列资源：在队列权限目录页面，先单击选择需要删除的队列资源，然后单击目录上方的，即可删除队列资源。 删除队列资源，不会将此队列资源从MRS/DLI中直接删除，而是不再将当前指定的队列资源分配给此工作空间。 直接删除队列资源后，队列中的授权配置依然存在，权限继续生效。需要通过删除策略或回收权限，才能删除相应队列权限。 数据安全无法删除当前正在数据开发中被使用的Yarn队列资源。 编辑策略：在MRS Yarn队列详情页面，单击对应策略操作栏中的“编辑”，即可编辑策略。 删除策略：在MRS Yarn队列详情页面，单击对应策略操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在策略列表上方单击“批量删除”。 删除操作无法撤销，请谨慎操作。 修改权限：在DLI队列详情页面，单击对应授权项操作栏中的“修改权限”，即可修改对该用户所授予的权限。 回收权限：在DLI队列详情页面，单击对应授权项操作栏中的“回收权限”，即可删除对该用户所授予的权限。

新建空间资源权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“空间资源权限”，进入空间资源权限页面。 图1 进入空间资源权限页面 单击空间资源权限页面的“新建” ，在弹出的策略配置页参考表1配置相关参数，配置完成单击“保存”，策略配置完成。 表1 配置空间资源权限策略参数说明 参数名 参数描述 *策略名称 标识空间资源权限策略，为便于策略管理，建议名称中包含资源对象和授权对象。 资源对象 数据连接 选择需要授权的管理中心组件数据连接。如需新建数据连接，请参考创建DataArts Studio数据连接。 说明： 对于未选择的数据连接，则默认该连接权限放开，不做权限管控。 对于选择的数据连接，则非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）将无权再查看并使用该连接。 委托 选择需要授权的IAM委托，仅限于委托对象为“ 数据湖 治理中心 DGC”的云服务类型委托。如需新建委托，请参考参考：创建委托。 说明： 对于未选择的委托，则默认该委托权限放开，不做权限管控。 对于选择的委托，则非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）将无权再查看并使用该委托。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图2 新建空间资源权限策略

约束与限制 当前仅支持简单模式的工作空间资源管控，不支持企业模式。 如果未对某资源进行赋权，则默认该资源权限放开，不做权限管控。 当前仅数据开发组件支持空间资源权限策略，其他组件不受空间资源权限策略限制。在数据开发组件如下场景中，会根据空间资源权限策略进行鉴权。 脚本开发或者作业开发中，选择连接或作业委托、公共委托。 提交脚本或者作业。 对于历史版本中直接在数据开发组件创建的数据连接，暂不支持进行资源权限管理。 对于已有的空间资源权限策略，当已删除对应资源后，策略不会随之自动删除。

启用细粒度认证 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“权限应用”，进入权限应用页面。 在“权限应用”页面，为希望启用细粒度认证的数据连接，进行联通性测试。联通性测试时，系统会使用当前用户账号访问数据源，以确保当前用户访问正常。 由于DWS数据源不支持以华为账号直接访问，因此如果当前以华为账号登录，则会导致联通性测试失败。因此在DWS联通性测试前，需要先完成用户同步，再将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 图1 联通性测试 如果联通性测试失败，可从以下方面进行排查： 确保数据连接上的数据源可用。 数据连接中的Agent选择的CDM集群应为2.10.0.300及以上版本。 已完成用户同步，用户同步操作请参考同步IAM用户到数据源。 DWS连接： DWS连接中DWS集群guest_agent版本为8.2.1，或在8.2.1以上、9.0.0以下。DWS集群guest_agent版本查看方法请参考查看DWS集群guest agent版本。 已将当前登录账号切换为IAM子用户账号，且具有至少DWS Database Access权限。 MRS Hive连接： MRS Hive连接中的用户是否配置了代理权限，若没配置代理，可参考参考：为MRS数据连接用户配置代理权限。 MRS SPARK连接： MRS SPARK连接中的用户是否配置了代理权限，若没配置代理，可参考参考：为MRS数据连接用户配置代理权限。 MRS SPARK数据连接对应的SPARK2x组件是否为多主实例模式。多主实例模式时才支持细粒度认证，为多租户模式时不支持。多租户模式切换多主实例模式请参考配置多主实例与多租户模式切换章节。 联通性测试成功后，在细粒度认证状态列，根据所需选择启用开发态或调度态的细粒度认证，然后单击下方的“提交”，即可开启细粒度认证。 图2 开启细粒度认证

前提条件 开启细粒度认证前，请确保已经为使用数据源的用户配置了业务所需的数据权限，避免开启后因用户无数据权限导致业务中断。配置权限详见配置权限集或配置角色。 DWS联通性测试前，已完成用户同步，然后将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 已经为MRS Hive连接和MRS SPARK连接中的用户配置了代理权限，请参考参考：为MRS数据连接用户配置代理权限进行配置。 MRS SPARK数据连接对应的SPARK2x组件为多主实例模式，否则请参考配置多主实例与多租户模式切换章节进行切换。

约束与限制 当前开发态细粒度认证仅支持DWS、代理模式的MRS Hive和MRS SPARK类型数据源，调度态细粒度认证仅支持代理模式的MRS Hive类型数据源。 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限配置细粒度认证状态。 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时，才支持细粒度认证。 角色/权限集中配置的用户权限，需要在角色/权限集同步成功并启用细粒度认证后才能生效。 DWS连接联通性测试约束如下： 联通性测试时，系统会使用当前用户账号访问数据源，以确保当前用户访问正常。由于DWS数据源不支持以华为账号直接访问，因此如果当前以华为账号登录，则会导致联通性测试失败。因此DWS联通性测试前，需要先完成用户同步，再将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 仅当DWS集群guest_agent版本为8.2.1，或在8.2.1以上、9.0.0以下时，才支持细粒度认证。DWS集群guest_agent版本查看方法请参考查看DWS集群guest agent版本。 MRS Hive连接联通性测试约束如下： 仅当MRS Hive数据连接中的用户配置了代理权限后，才支持细粒度认证。 MRS SPARK连接联通性测试约束如下： 仅当MRS SPARK数据连接中的用户配置了代理权限后，才支持细粒度认证。 仅当MRS SPARK数据连接对应的SPARK2x组件为多主实例模式时才支持细粒度认证，为多租户模式时不支持。多租户模式切换多主实例模式请参考配置多主实例与多租户模式切换章节。

申请权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面的权限申请页签，单击“创建权限申请”，创建权限申请工单。 图1 创建权限申请 在权限申请工单页面中，参考表1完成工单填写。 图2 填写工单 表1 权限申请工单参数说明 配置项 说明 基本信息 *工作空间 选择已配置空间权限集的工作空间。 *空间权限集 选择空间权限集，空间权限集权限范围应已包含所需资源权限。 *数据源类型 当前支持Hive、DWS、DLI。 *集群名称 选择要申请的资源所在的集群。 *数据连接 选择要申请的资源所在的数据连接。 资源选择 *待添加资源 在导航树上选择数据库后，勾选所需的数据表，单次申请时支持选择不同数据库下的表。 说明： 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置所选数据表中所有列的SELECT权限。 另外，导航树上的快速模式开启后，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。推荐开启快速模式。 *已选择资源 在已选择资源列表中可查看所选的表、权限和审批人信息。 说明： 审批人默认来自权限集/角色的管理员。例如，如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限，审批人可以选择为权限集A或角色B管理员；如果只有空间权限集定义了所选数据表中所有列的SELECT权限，审批人为空间权限集的管理员。 申请信息 为自己 勾选为自己后，可为自己申请所选择的资源权限。 空间账号 当在数据开发组件配置调度的公共IAM账号后，可为空间账号申请所选择的资源权限。 为他人 可选择工作空间内的成员，为其申请所选择的资源权限。 *申请原因 填写申请原因，便于审批人审视是否应当审批。 工单填写完成后，单击提交可生成一条待审批的工单记录。在工单列表处，可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情，并支持撤回未审批的工单。 图3 工单列表

约束与限制 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置待申请数据表中所有列的SELECT权限。 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。 单次申请多个数据表的权限，会拆成多个工单进行审批。 当前权限申请和审批模块，仅支持查看当前用户的权限申请与审批记录，不支持权限审计。 DLI权限申请只支持为用户申请，不支持用户组。 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时，数据源（此处指MRS/DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。

回收权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，单击“权限回收”，进入权限回收页签。 图6 权限回收 在权限回收页签中，列表展示指定空间（默认当前空间）下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名，匹配权限记录（支持模糊匹配），然后通过操作栏中的“回收”，删除当前的权限记录。 仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。 图7 回收权限

审批权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，审批人单击“权限审批”进入权限审批页签。 图4 权限审批 在权限审批页签中，工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情。请从业务合理性和数据安全角度审视，确认“通过”或“驳回”该工单，同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。 在权限审批页签中，单击“已审批”，可查看已经审批通过的工单。 图5 已通过工单列表

相关操作 同步权限：在角色管理中，配置数据权限后需要同步权限到数据源中权限管控才能生效。 您可以在角色详情页面，单击基本信息区域右上角的“权限同步”进行同步。当需要批量同步时，可以在角色管理导航树上勾选角色后，在导航树上方单击进行权限同步。 同步角色：在通用角色管理（纳管角色无需同步角色）中，权限集配置角色后需要同步到数据源中权限管控才能生效。 您可以在角色详情页面，单击基本信息区域右上角的“角色信息同步”，或数据源角色配置页签中列表操作栏的“同步”，进行角色信息同步。当需要批量同步时，可以在角色管理导航树上勾选角色后，在导航树上方单击进行角色信息同步。 角色信息同步成功后，MRS数据源角色命名格式为“角色名_时间戳”，DWS据源角色命名格式为“dataarts_studio_role_角色名”。 同步角色到MRS集群的场景下，系统提示角色信息同步成功后，还需要等待约5分钟，直到Ranger组件自动触发并完成同步MRS集群角色后，权限管控才能生效。Ranger组件是否同步完成，可通过数据源角色配置页签中列表中的“数据源角色名称”确认： 未完成同步的角色，数据源角色名称为：角色名_10位时间戳 已完成同步的角色，数据源角色名称为：角色名_13位时间戳 删除角色：在角色管理导航树上勾选角色后，在导航树上方单击，在弹窗中再次确认后，即可删除权限集。 注意，通用角色中已配置角色、权限、用户或有子权限集时不可删除，如需删除应先清理相关配置。纳管角色中已配置权限时不可删除，如需删除应先清理相关配置。 通用角色删除后将被转移至回收站中，您可以在30天内进行还原，在回收站中超过30天的数据将被自动删除。详见管理回收站章节。

配置通用角色 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“角色管理”，进入角色管理页面。 您可以通过以下两种方式之一，进入配置通用角色入口。 已有角色：在“角色管理”页面，角色管理导航树上会默认展示已创建的权限集（详见创建权限集）作为通用角色。您可以单击角色名，进入角色详情配置页面。 图1 进入角色详情 新建角色：在“角色管理”页面，在角色管理导航树单击，选择“创建通用角色”。参考表1完成通用角色创建，配置完成单击“确定”，系统默认进入新建的角色详情配置页面。 表1 参数设置 参数名 参数设置 *权限集名称 标识权限集，实例下唯一。 建议名称中包含含义，避免无意义的描述，以便于快速识别所需权限集。 *父权限集 选择对应的父权限集，父权限集可以是空间权限集或其他权限集。注意选择父权限集后，当前权限集的权限也为其父权限集的子集。 *管理员 管理员为当前权限集的负责人，具有配置当前权限集内权限的能力。管理员职能范围： 权限配置：为权限集分配数据源权限。 用户配置：将当前集合内权限分配给用户、用户组或工作空间角色。 创建权限集：基于当前权限集新建权限集和角色，新建权限集的权限不会大于当前权限集。 描述 为更好地识别权限集，此处加以描述信息。 图2 创建通用角色 基本信息：在角色详情页面，展开基本信息区域可以查看角色名称、ID、管理员等信息，详见图3。 另外，还可以在配置完角色和权限后，通过右上角的“权限同步”和“角色信息同步”进行同步。 图3 角色基本信息 数据源角色配置：在角色详情页面的数据源角色配置页签，可通过“新建”在数据源上创建新角色，用于承载用户和权限之间的关联关系。 图4 数据源角色配置页签 单击“新建”，系统在弹出的窗口中展示数据源的信息，您需要勾选所需配置的数据源并填写“角色名”，然后单击“确定”，即可完成角色创建。 图5 新建数据源角色 如果后续不再需要数据源角色，可以通过列表操作栏中的“删除”删除数据源中的角色。删除后权限同步就不再同步到角色，而是只同步到用户信息。 数据权限：在角色详情页面，单击“数据权限”进入数据权限页签。数据权限页签默认展示数据视角，可手动切换到权限视角。在这两种视角下，配置的权限数据是互通的，差异仅为展示视角的不同，推荐您使用权限视角进行批量授权。 数据视角：数据视角下，系统从数据的角度为您提供权限配置入口，当前仅支持MRS数据源。 图6 数据视角权限配置 配置权限时，您可以选择“整库”、“整表”或“整列”等层级，然后在数据源信息中勾选对应层级，进行批量授权。另外，也可以在展开的导航树中，单击对应数据操作列中的“授权”，进行单一授权。 数据视图授权时，系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 图7 数据视角授权 权限视角：权限视角下，系统从权限的角度为您提供权限配置入口。 配置权限时，您需要直接单击“新建”，然后依次选择数据层级，进行权限配置。在权限视角下，同一层级（例如数据库、数据表或数据列）不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 MRS Hive授权时，数据库可修改为URL，用于为存算分离场景下的OBS路径授权。存算分离场景下，使用Hive额外所需如下URL权限： 创建库：write 权限创建表/写入数据/删除表：read权限 配置权限后，在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图8 权限视角权限配置 成员列表：在角色详情页面，单击“成员列表”进入成员列表页签。 成员列表的含义即为将数据源角色配置中的角色与此处的用户关联起来。您可以单击“添加”，按照用户、用户组或工作空间角色的维度将用户添加到角色中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图9 成员列表 从属角色：在角色详情页面，单击“从属角色”进入从属角色页签。 在从属角色页签，您可以查看到当前角色的子角色。 图10 查看从属角色 目录权限：在角色详情页面，单击“目录权限”进入目录权限页签。 目录权限通过从Ranger组件获取对应角色的HDFS策略，从而显示该角色具有权限的HDFS路径，并支持查看对该路径有哪些操作权限。如果想查询某路径下的权限，则可以使用搜索功能进行查看，注意当前仅支持精确匹配。 图11 查看目录权限 日志：在角色详情页面，单击“日志”进入日志页签。 在日志页签，当权限同步失败后，您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图12 查看日志 角色配置完成后，并不会直接生效。需要您将权限和角色手动同步到数据源中，同步成功后权限控制才能生效，详见相关操作。

配置纳管角色 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“角色管理”，进入角色管理页面。 在“角色管理”页面，在角色管理导航树单击，选择“创建纳管角色”。在弹窗中选择已创建的Ranger连接，您需要在选择“父权限集/角色”后，单击所需纳管MRS角色操作栏中的“纳管”，完成纳管角色的创建。也可以在勾选多个所需纳管MRS角色后，单击列表上方“纳管”进行批量创建。 如果后续不再需要纳管角色，可以直接在角色管理导航树删除纳管角色，即可解除纳管角色。解除后权限同步就不再同步到角色，而是只同步到用户信息。 图13 创建纳管角色 关闭角色纳管弹窗，返回“角色管理”页面。在角色管理导航树上找到上一步中纳管的MRS角色，单击角色名，进入角色详情配置页面。 基本信息：在角色详情页面，展开基本信息区域可以查看角色名称、ID、管理员等信息，详见图14。 另外，还可以在配置完角色和权限后，通过右上角的“权限同步”和“角色信息同步”进行同步。 图14 角色基本信息 成员列表：在角色详情页面的成员列表页签，可以查看当前MRS角色所关联的用户或用户组。纳管角色暂不支持在数据安全侧添加用户。 图15 成员列表 数据权限：在角色详情页面，单击“数据权限”进入数据权限页签。数据权限页签默认展示数据视角，可手动切换到权限视角。在这两种视角下，配置的权限数据是互通的，差异仅为展示视角的不同，推荐您使用权限视角进行批量授权。 数据视角：数据视角下，系统从数据的角度为您提供权限配置入口。如果已成功运行过元数据采集任务（详见元数据采集任务），则可以直接查看到数据源信息，单击可展开导航树。 图16 数据视角权限配置 配置权限时，您可以选择“整库”、“整表”或“整列”等层级，然后在数据源信息中勾选对应层级，进行批量授权。另外，也可以在展开的导航树中，单击对应数据操作列中的“授权”，进行单一授权。 数据视图授权时，系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 图17 数据视角授权 权限视角：权限视角下，系统从权限的角度为您提供权限配置入口。 配置权限时，您需要直接单击“新建”，然后依次选择数据层级，进行权限配置。在权限视角下，同一层级（例如数据库、数据表或数据列）不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 MRS Hive授权时，数据库可修改为URL，用于为存算分离场景下的OBS路径授权。存算分离场景下，使用Hive额外所需如下URL权限： 创建库：write 权限创建表/写入数据/删除表：read权限 配置权限后，在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图18 权限视角权限配置 目录权限：在角色详情页面，单击“目录权限”进入目录权限页签。 目录权限通过从Ranger组件获取对应角色的HDFS策略，从而显示该角色具有权限的HDFS路径，并支持查看对该路径有哪些操作权限。如果想查询某路径下的权限，则可以使用搜索功能进行查看，注意当前仅支持精确匹配。 图19 查看目录权限 纳管角色的权限配置完成后，并不会直接生效。需要您将权限手动同步到Ranger组件中，同步成功后权限控制才能生效，详见同步权限。

前提条件 配置角色前，已完成空间权限集的配置，请参考配置空间权限集。 MRS和DWS角色同步时，系统通过管理中心组件数据连接中的用户进行账号相关的增删改查等操作，因此对数据连接中的用户有以下权限要求： MRS Ranger连接中的用户需具备Ranger组件Admin权限。 DWS连接中的数据库用户，在非三权分立模式下至少需具备数据库dbadmin权限，三权分立模式下需具备系统管理员权限。 配置方法详见检查集群版本与权限。 如果希望在快速模式下权限配置时能够展示数据连接中数据库、表以及字段等元数据提示信息，则需要在数据目录组件，对数据表成功进行过元数据采集，详见元数据采集任务。

约束与限制 当前仅支持为MRS和DWS集群创建角色。 由于空间权限集主要用于确定工作空间权限范围，而非权限管控，因此不支持对空间权限集添加创建角色。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 当为权限集创建了角色之后，权限就不再同步到用户，而是只同步到角色。 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时，才支持角色管理。 MRS和DWS角色同步时，系统通过管理中心组件数据连接中的用户进行账号相关的增删改查等操作，因此对数据连接中的用户有以下权限要求： MRS Ranger连接中的用户需具备Ranger组件Admin权限。 DWS连接中的数据库用户，在非三权分立模式下至少需具备数据库dbadmin权限，三权分立模式下需具备系统管理员权限。 配置方法详见检查集群版本与权限。 角色中的目录权限仅展示该空间下所指定角色在集群上的目录权限。 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时，数据源（此处指MRS/DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。

配置权限集 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限集”，进入权限集页面。 在“权限集”页面，找到需要配置的权限集，单击权限集名称进入详情页面。 图3 进入权限集详情 基本信息：在权限集详情页面，基本信息区域可以查看权限集名称、ID、管理员等信息，详见图4。 图4 权限集基本信息 权限配置：在权限集详情页面，权限配置页签默认展示数据视角，可手动切换到权限视角。在这两种视角下，配置的权限数据是互通的，差异仅为展示视角的不同，推荐您使用权限视角进行批量授权。 数据视角：数据视角下，系统从数据的角度为您提供权限配置入口（当前仅支持MRS数据源）。在授权时可选的数据范围为父权限集中已授权的数据。 图5 数据视角权限配置 配置权限时，您可以选择“整库”、“整表”或“整列”等层级，然后在数据源信息中勾选对应层级，进行批量授权。另外，也可以在展开的导航树中，单击对应数据操作列中的“授权”，进行单一授权。 数据视图授权时，系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 图6 数据视角授权 权限视角：权限视角下，系统从权限的角度为您提供权限配置入口。在授权时可选的数据范围为父权限集中已授权的数据。 配置权限时，您需要直接单击“新建”，然后依次选择数据层级，进行权限配置。在权限视角下，同一层级（例如数据库、数据表或数据列）不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。 例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 MRS Hive授权时，数据库可修改为URL，用于为存算分离场景下的OBS路径授权。存算分离场景下，使用Hive额外所需如下URL权限： 创建库：write 权限创建表/写入数据/删除表：read权限 配置权限后，在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图7 权限视角权限配置 用户配置：在权限集详情页面，单击“用户配置”进入用户配置页签。 用户配置的含义即为将权限配置中定义的数据权限，与此处的用户绑定起来。您可以单击“添加”，按照用户或用户组（当前暂不支持选择“工作空间角色”）的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图8 用户配置 子权限集：在权限集详情页面，单击“子权限集”进入子权限集页签。 在子权限集页签，您可以查看到当前权限集下的子权限集。 图9 查看子权限集 日志：在权限集详情页面，单击“日志”进入日志页签。 在日志页签，当权限同步失败后，您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图10 查看日志 权限集配置完成后，并不会直接生效。需要您将权限集手动同步到数据源中，同步成功后权限管控才能生效，详见同步权限集。 但由于角色管理基于权限集提供了更加直观、强大的权限管控能力，因此一般无需同步空间权限集，实际使用中推荐通过配置角色进行权限管控。

相关操作 同步权限集：权限集需要同步到数据源中权限管控才能生效。但由于角色管理基于权限集提供了更加直观、强大的权限管控能力，因此一般无需同步权限集，实际使用中推荐通过配置角色进行权限管控。 如需同步权限集，则在权限集页面，单击列表中对应权限集操作栏中的“同步”，即可将权限集同步至数据源。当需要批量同步时，可以在勾选权限集后，在列表上方单击“同步”。 编辑权限集：在权限集页面，单击列表中对应权限集操作栏中的“编辑”，即可修改权限集名称、管理员、描述信息。 删除权限集：在权限集页面，单击列表中对应权限集操作栏中的“删除”，在弹窗中再次确认后，即可删除权限集。当需要批量删除时，可以在勾选权限集后，在列表上方单击“删除”。 注意，已配置权限、用户或有子权限集的权限集不可删除。如需删除应先清理权限集的相关配置。 权限集删除后将被转移至回收站中，您可以在30天内进行还原，在回收站中超过30天的数据将被自动删除。详见管理回收站章节。

创建权限集 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限集”，进入权限集页面。 在“权限集”页面单击“新建”，创建权限集。 图1 创建权限集 新建权限集配置请参考表1，参数配置完成单击“确定”即可。 表1 参数设置 参数名 参数设置 *权限集名称 标识权限集，实例下唯一。 建议名称中包含含义，避免无意义的描述，以便于快速识别所需权限集。 *父权限集 选择对应的父权限集，父权限集可以是空间权限集或其他权限集。注意选择父权限集后，当前权限集的权限也为其父权限集的子集。 *管理员 管理员为当前权限集的负责人，具有配置当前权限集内权限的能力。管理员职能范围： 权限配置：为权限集分配数据源权限。 用户配置：将当前集合内权限分配给用户、用户组或工作空间角色。 创建权限集：基于当前权限集新建权限集和角色，新建权限集的权限不会大于当前权限集。 描述 为更好地识别权限集，此处加以描述信息。 图2 创建权限集配置

约束与限制 DAYU Administrator、Tenant Administrator、数据安全管理员和父权限集管理员可以创建、修改或同步权限集，权限集管理员支持同步空间权限集，其他普通用户无权限操作。 当前通过权限集管控权限时，仅支持DLI、MRS Hive和DWS数据源。 权限集权限配置中，特殊情况下可能会出现子权限集权限超出父权限集范围的情况。例如当子权限集已配置某条权限记录后，父权限集中再删除此权限，会导致出现此情况，当前不支持级联删除权限。 权限集配置完成后，权限管控并不会直接生效，而是需要将权限集手动同步到数据源后，权限管控才能生效。 由于角色管理基于权限集提供了更加直观、强大的权限管控能力，因此除DLI数据源外，一般无需同步权限集，实际使用中推荐通过配置角色进行权限管控。如果需要同步，则需注意以下限制： 进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。 DLI权限集同步时会将权限由IAM创建自定义策略绑定到用户/用户组中。IAM最多可创建自定义策略200条，同步前请确保配额充足。 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时，数据源（此处指MRS/DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。