数据治理中心 DATAARTS STUDIO-配置角色:配置通用角色

时间:2024-09-09 17:46:43

配置通用角色

  1. DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击数据安全左侧导航树中的角色管理,进入角色管理页面。
  3. 您可以通过以下两种方式之一,进入配置通用角色入口。

    • 已有角色:在角色管理页面,角色管理导航树上会默认展示已创建的权限集(详见创建权限集)作为通用角色。您可以单击角色名,进入角色详情配置页面。
      图1 进入角色详情

    • 新建角色:在角色管理页面,在角色管理导航树单击,选择“创建通用角色”。参考表1完成通用角色创建,配置完成单击“确定”,系统默认进入新建的角色详情配置页面。
      表1 参数设置

      参数名

      参数设置

      *权限集名称

      标识权限集,实例下唯一。

      建议名称中包含含义,避免无意义的描述,以便于快速识别所需权限集。

      *父权限集

      选择对应的父权限集,父权限集可以是空间权限集或其他权限集。注意选择父权限集后,当前权限集的权限也为其父权限集的子集。

      *管理员

      管理员为当前权限集的负责人,具有配置当前权限集内权限的能力。管理员职能范围:
      • 权限配置:为权限集分配数据源权限。
      • 用户配置:将当前集合内权限分配给用户、用户组或工作空间角色。
      • 创建权限集:基于当前权限集新建权限集和角色,新建权限集的权限不会大于当前权限集。

      描述

      为更好地识别权限集,此处加以描述信息。

      图2 创建通用角色

  4. 基本信息:在角色详情页面,展开基本信息区域可以查看角色名称、ID、管理员等信息,详见图3

    另外,还可以在配置完角色和权限后,通过右上角的“权限同步”和“角色信息同步”进行同步。
    图3 角色基本信息

  5. 数据源角色配置:在角色详情页面的数据源角色配置页签,可通过“新建”在数据源上创建新角色,用于承载用户和权限之间的关联关系。

    图4 数据源角色配置页签

    单击“新建”,系统在弹出的窗口中展示数据源的信息,您需要勾选所需配置的数据源并填写“角色名”,然后单击“确定”,即可完成角色创建。

    图5 新建数据源角色

    如果后续不再需要数据源角色,可以通过列表操作栏中的“删除”删除数据源中的角色。删除后权限同步就不再同步到角色,而是只同步到用户信息。

  6. 数据权限:在角色详情页面,单击“数据权限”进入数据权限页签。数据权限页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。

    • 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持 MRS 数据源。
      图6 数据视角权限配置

      配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。

      数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。
      • 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。

        例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。

      • 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。
      图7 数据视角授权
    • 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。
      配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。
      • 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。

        例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。

      • 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。
      • MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限:
        • 创建库:write
        • 权限创建表/写入数据/删除表:read权限
      配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。
      图8 权限视角权限配置

  7. 成员列表:在角色详情页面,单击“成员列表”进入成员列表页签。

    成员列表的含义即为将数据源角色配置中的角色与此处的用户关联起来。您可以单击“添加”,按照用户、用户组或工作空间角色的维度将用户添加到角色中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。
    图9 成员列表

  8. 从属角色:在角色详情页面,单击“从属角色”进入从属角色页签。

    在从属角色页签,您可以查看到当前角色的子角色。
    图10 查看从属角色

  9. 目录权限:在角色详情页面,单击“目录权限”进入目录权限页签。

    目录权限通过从Ranger组件获取对应角色的HDFS策略,从而显示该角色具有权限的HDFS路径,并支持查看对该路径有哪些操作权限。如果想查询某路径下的权限,则可以使用搜索功能进行查看,注意当前仅支持精确匹配。

    图11 查看目录权限

  10. 日志:在角色详情页面,单击“日志”进入日志页签。

    在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。
    图12 查看日志

  11. 角色配置完成后,并不会直接生效。需要您将权限和角色手动同步到数据源中,同步成功后权限控制才能生效,详见相关操作
support.huaweicloud.com/usermanual-dataartsstudio/dataartsstudio_01_1157.html