解密权限功能用于展示目前已拥有的解密权限列表,并支持您申请数据表加密列的解密权限。待申请通过审批后,您可以对自己获取的相应权限进行交还、续期等管理。
1 前提条件
- 在概览页面,已开通分布式数据自治服务。详细操作说明请参见 DataLeap 服务信息。
- 已创建加密任务。
- 解密权限申请已审批通过,才可查看并管理相应的资源权限。审批操作相关说明请参见审批工单。
2 申请解密权限
登录DataLeap控制台。
选择概览 > 数据安全 > 数据保护 > 加密解密 > 解密权限,进入解密权限页面。
单击申请解密权限按钮,进入申请权限页面。
设置申请信息后,单击提交按钮完成解密权限申请。
说明
申请加密表的访问权限时,会提示有加密列,才需要申请解密权限。
申请解密权限的相关参数如下表所示。
参数
说明
选择获权方
*获权方类型
获权方申请类型有两个选项:个人和用户组,默认选择个人。
*获权方
获得资源权限的个人或用户组。
- 当获权方类型选择个人时,默认当前登录账号为获权方,可输入租户账号关键字后下拉选择其他账号进行申请,支持设置多个。
- 当获权方类型选择用户组时,下拉可选已创建的用户组。
说明
租户主账号默认拥有所有数据访问权限,无需申请。
申请资源
*数据源
数据源类型,目前 EMR Hive、LAS Catalog 已支持解密权限申请。
*内容
申请的资源,此处选择数据表选项申请表权限,选择内容依次为集群、数据库、数据表。
说明
- 仅 EMR Hive 需选择集群。
- 集群选项内容为安全模式的已绑定集群。若已绑定集群从快捷模式切换为安全模式,则数据安全侧第二天才能看到该元数据。集群访问模式的相关配置说明请参见绑定 EMR 集群。
*申请范围
权限申请的范围,从下拉框中选择数据表后显示,支持整表申请或按行申请。
- 整表申请:申请整表权限,包括行限制权限。
- 按行申请:当存在行限制时,可只申请行限制权限。
- 列:当数据表含有敏感列或加密列数据时,需单独申请列权限,可在显示的列下拉框中选择申请项。
说明
仅当申请内容选择数据表时,才需设置该参数。
权限类型
获权方可获得的访问权限,支持只读、解密两个设置选项,可多选。
- 只读:仅可对该资源做“读”操作,如 Select。
- 解密:列为加密字段时,如需访问解密数据,需申请该权限。申请后,即拥有该列的解密权限。
说明
- 选择加密列后,才会显示对应的权限类型选项。
- 不可仅申请解密权限,而若仅有只读权限,则访问的是密文。
有效期
拥有资源权限的有效期限。数据源的有效期限由申请的需求类型决定,如下:
- 故障排查支持1~30天有效期。
- 指标计算支持1~180天有效期。
- 其他需求类型支持1天~永久有效期。
申请原因
*需求类型
申请资源权限的原因分类,包括故障排查、指标计算、挖掘分析等选项,可从下拉列表中选择。
*详细原因
申请资源权限的详细原因说明。
不同的需求类型,会提供对应的填写模板。*申请问答
申请资源权限要回答的自定义问题。
当该资源设置了自定义问题后,申请其权限时才会显示该参数。设置自定义问题的相关说明请参见权限设置。解密方式
解密方式
采用的解密方式,支持审批完成后,手动创建解密任务,即指通过创建解密任务进行解密,并将解密结果写入解密任务的新建表中。
3 管理解密权限
待解密权限申请通过审批后,您可以管理自己获取权限的数据,步骤如下:
- 登录DataLeap控制台。
- 选择概览 > 数据安全 > 数据保护 > 加密解密 > 解密权限,进入解密权限页面。
- 可查看获取解密权限的资源列表,并执行以下操作:
- 搜索资源
设置搜索信息,查询符合条件的具备解密权限的资源列表。 - 查看表信息
单击某条信息的资源名,可以查看该表的基本信息。 - 查看关联任务
单击某条信息操作列的查看任务按钮,在弹出的窗口中,可以查看该资源关联的数据开发任务。 - 交还权限
单击某条信息操作列的交还按钮,或者勾选一个或多个选项后,单击批量交还按钮,在弹出的窗口中,可以交还该资源的访问权限。 - 权限续期
单击某条信息操作列的续期按钮,或者勾选一个或多个选项后,单击批量续期按钮,在弹出的窗口中,可以续期该资源的访问权限。
- 搜索资源
4 后续操作
解密权限申请通过后,您可以按需创建相应的解密任务,进行数据解密。创建解密任务的相关说明请参见管理解密任务。