You need to enable JavaScript to run this app.
导航
主动授权审计
最近更新时间:2025.04.02 19:07:04首次发布时间:2025.04.02 19:07:04
我的收藏
有用
有用
无用
无用

通过本功能,您可以对主动授权的工单进行定期审计,以保障授权的合理性以及规避潜在的数据安全风险。审计的工作主要包括标记是否存在风险,对存在风险的授权进行处置和备注。

1 审计原则

权限审计主要遵循以下原则:

  • 权限最小化
    权限的授予应遵循最小化原则,数据权限仅授予具有正当、合法、必要的需求方,防止数据权限扩散。
  • 聚焦重要资产
    权限审计工作应优先聚焦重要的敏感数据资产。
  • 最大化规避风险
    应在权限审计工作完成后,处置审计工作中识别到的所有风险。

2 约束限制

  • 用户仅可对自己是权限负责人的资源进行负责人审计。
  • 仅租户主账号才可进行超管审计。超管可以查看所有权限工单并进行相应的审计操作,以辅助权限负责人审计判断。

3 前提条件

  • 概览页面,已开通湖仓一体分布式数据自治DataOps敏捷研发服务。详细操作说明请参见 DataLeap 服务信息
  • 已对资源进行主动授权。资源授权的相关操作说明请参见授权管理

4 操作步骤

主动授权审计的操作步骤如下:

  1. 登录 DataLeap 控制台。
  2. 选择概览 > 数据安全 > 风险审计 > 权限审计 > 主动授权审计,进入主动授权审计页面。
    Image
  3. 设置要搜索信息,查看符合条件的申请授权资源列表。

    说明

    • 当从角色下拉列表中选择权限负责人时,列表的参数列负责人审计负责人备注变为可编辑。
    • 当从角色下拉列表中选择超管时,列表的参数列超管审计超管备注变为可编辑。
  4. 审计资源申请授权的相关信息。
    • 审计单个授权信息
      单击列表中某条信息相应审计参数列的编辑图标,在弹出的窗口中,设置审计信息后,单击确定按钮/图标,完成资源授权审计。
      Image

      参数

      说明

      负责人审计信息

      负责人审计

      权限负责人审计资源时可标记的风险类型。默认为未标记,支持以下 9 个标记选项,单击相应的编辑图标后下拉可选。

      • 无风险
      • 审批工单信息不完整
      • 授权有效期不合理
      • 非必要授权
      • 可脱敏的数据应用场景
      • 授权数据范围不符合最小化原则
      • 授权人员范围不符合最小化原则
      • 存在更优实现路径
      • 其他

      说明

      • 当标记为无风险时,不可编辑风险处置且不可进行批量风险处置。
      • 当标记为有风险的权限工单时,在风险处置列会显示风险处理情况为未处置,此时可按需编辑处理。

      风险处置

      对风险的处置措施,支持以下 3 个选项,下拉可选。

      • 已处置
      • 接受风险
      • 未处置

      说明

      • 设置负责人审计后,才可设置该参数。
      • 标记为有风险的权限工单需及时做处置,如回收不合理的授权、修改授权范围或有效期等。根据处理情况,将风险处置标记改为接受风险已处置

      负责人备注

      负责人对审计结果的备注说明信息。

      超管审计信息

      超管审计

      超管审计资源时可标记的风险类型。默认为未标记,支持以下 9 个选项,单击相应的编辑图标后下拉可选。

      • 无风险
      • 审批工单信息不完整
      • 授权有效期不合理
      • 非必要授权
      • 可脱敏的数据应用场景
      • 授权数据范围不符合最小化原则
      • 授权人员范围不符合最小化原则
      • 存在更优实现路径
      • 其他

      超管备注

      超管对审计结果的备注说明信息。

    • 批量审计

      1. 勾选一个或多个选项后,单击批量标记风险按钮,在弹出的窗口中,完成批量标记风险。
      2. 勾选一个或多个已完成风险标记的选项后,单击批量风险处置按钮,在弹出的窗口中,完成批量处置风险。

说明

  • 根据工单的信息,如授权人、获权对象、资源类型/层级、资源名、权限类型、有效期、授权原因等,判断该工单申请是否存在风险。
  • 通过视图设置按钮,可以选择在资源列表中显示或隐藏参数列授权时间负责人审计时间超管审计时间
  • 如果多次做标记,则以最后一次标记为准。
    • 权限负责人:在最后审计人负责人审计时间参数列,可查看最后一次标记的人和时间。
    • 超管:在超管审计时间参数列,可查看最后一次标记的时间。