华为云首页用户手册

数据治理中心 DATAARTS STUDIO-配置空间权限集:配置空间权限集

时间：2024-09-09 17:46:43

数据治理中心 DATAARTS STUDIO 数据权限访问控制

配置空间权限集

在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。
单击数据安全左侧导航树中的“空间权限集”，进入空间权限集页面。
在“空间权限集”页面，找到需要配置的空间权限集，单击权限集名称进入详情页面。

图3 进入空间权限集详情
基本信息：在空间权限集详情页面，基本信息区域可以查看空间权限集名称、ID、管理员等信息，详见图4。

图4 空间权限集基本信息
权限配置：在权限集详情页面，权限配置页签默认展示数据视角，可手动切换到权限视角。在这两种视角下，配置的权限数据是互通的，差异仅为展示视角的不同，推荐您使用权限视角进行批量授权。
- 数据视角：数据视角下，系统从数据的角度为您提供权限配置入口，当前仅支持 MRS 数据源。
  图5 数据视角权限配置
  
  配置权限时，您可以选择“整库”、“整表”或“整列”等层级，然后在数据源信息中勾选对应层级，进行批量授权。另外，也可以在展开的导航树中，单击对应数据操作列中的“授权”，进行单一授权。
  数据视图授权时，系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。
  值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。
  例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。
  
  进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。
  图6 数据视角授权
- 权限视角：权限视角下，系统从权限的角度为您提供权限配置入口。
  配置权限时，您需要直接单击“新建”，然后依次选择数据层级，进行权限配置。在权限视角下，同一层级（例如数据库、数据表或数据列）不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。
  值得注意的是，库、表、列的权限是分层管理的，例如仅授予库权限后，则被授权用户对表和列依然是无权限的，如需对表或列授权，要再次按照对应层级进行授权。
  例如，选择数据库授权，当手动填写数据表表名、或者填写“*”作为通配符时，此授权实际为对表进行授权；当手动填写数据列名、或者填写“*”作为通配符时，此授权实际为对列进行授权。
  
  进行授权时，授权对象名（库表列名）当前仅支持包含数字、英文、下划线、中划线和通配符*，暂不支持中文以及其他特殊字符。
  
  MRS Hive授权时，数据库可修改为URL，用于为存算分离场景下的OBS路径授权。存算分离场景下，使用Hive额外所需如下URL权限：
  
  创建库：write
  
  权限创建表/写入数据/删除表：read权限
  配置权限后，在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。
  图7 权限视角权限配置
用户配置：在权限集详情页面，单击“用户配置”进入用户配置页签。

用户配置的含义即为将权限配置中定义的数据权限，与此处的用户绑定起来。您可以单击“添加”，按照用户或用户组（当前暂不支持选择“工作空间角色”）的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。
图8 用户配置
子权限集：在权限集详情页面，单击“子权限集”进入子权限集页签。

在子权限集页签，您可以查看到当前权限集下的子权限集。
图9 查看子权限集
日志：在权限集详情页面，单击“日志”进入日志页签。

在日志页签，当权限同步失败后，您可以查看到日志详情。系统每天0点定时删除30天前的日志。
图10 查看日志
权限集配置完成后，权限管控并不会直接生效。需要您手动将权限同步到数据源中，同步成功后权限管控才能生效，详见同步权限集。

实际上，由于空间权限集主要用于确定工作空间权限范围，而非权限管控，因此一般无需同步空间权限集，实际使用中推荐通过配置角色进行权限管控。