通过对数据资源的权限设置,可以控制不同用户对资源的访问能力。资源访问权限的设置可以保护数据安全和隐私,防止未经授权的访问和操作。
通过权限设置功能,您可以配置各资源的相关访问权限,包括权限负责人、保密级别、申请限制、续期配置等。下面将为您详细介绍如何配置资源的申请权限。
1 约束限制
- 仅库、表、行、列资源的权限负责人可以查看相应资源并配置资源的访问权限。
- EMR Hive、EMR StarRocks 和 EMR Serverless StarRocks 数据源均支持快捷模式和安全模式两类集群数据,其中仅安全模式的数据需要进行权限管理。
说明
若数据源已绑定集群从快捷模式切换为安全模式,则数据安全侧第二天才能看到该元数据。集群访问模式的相关配置说明请参见绑定 EMR 集群和绑定 EMR Serverless StarRocks 实例。
2 前提条件
支持的数据源已完成相应的元数据采集,相关操作说明请参见元数据采集。
说明
- ByteHouse CE 元数据采集后,其存量数据需 T+1 日才会同步至数据安全侧,而增量数据则实时同步。
- LAS Catalog 元数据采集后,需 T+1 日才可同步至数据安全。
3 设置数据库权限
- 登录 DataLeap 控制台。
- 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据库,进入数据库页面。
- 可执行以下操作:
搜索数据库
通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息,查询符合条件的数据库资源。当设置多个搜索条件时,会取各个条件的交集,进行查询。配置单个数据库
单击某条数据库信息操作列的设置按钮,进入该数据库的权限设置页面。
可以修改相关的权限参数。
参数
说明
基础设置
*权限负责人
数据库的权限负责人,支持设置为个人或角色组。
- 个人:下拉可选,支持选择多个。可以删除当前负责人,或者通过输入租户账号关键字,在下拉列表中选择增加新的负责人。
当添加或者删除至少一个权限负责人后,会显示增减应用在下级? 参数项,你可选择是否同时修改下级资源。- 是,同时修改下级资源:即将在下级资源所有权限负责人设置中增加或删除该人。例如在表级别删除了权限负责人A,则将在该表的行列(如有)层级、新增行枚举默认负责人均移除A。
- 否,仅应用在本级:权限负责人相关变更仅应用在当前资源。
- 角色组:下拉可选已创建的角色组。角色组创建相关说明请参见审批设置。
说明
权限负责人变更后会同步更新在途工单审批人。
保密级别
数据库的安全保密级别,由低到高依次有L1、L2、L3 和 L4 四个选项,下拉可选。
说明
密级变更时,审批流程将跟随变更为对应密级的审批流,如有特殊需要可前往设置审批流处配置。
密级升高权限处理
可选择是否回收原获权方的权限。
- 全部回收:全部原获权方的该权限将被回收,原获权方应按需重新申请。库管和表Owner权限不受影响。
- 不回收:保留原获权方的权限。
说明
当保密级别升高时,会显示该参数。
续期配置
可设置是否允许续期。
- 允许:允许获权方续期。
续期时,只填写续期原因,无需审批即可直接获取权限。续期的相关操作请参见管理当前权限。 - 禁止:禁止获权方续期。选择该选项时,需填写不允许原因。
申请配置
选择是否开放数据库访问权限的申请,支持进行细粒度配置,包括只读、读写、建表。
当选择禁止时,需填写禁止申请的原因;当选择允许时,可设置禁止申请的类型,包括多人、单人、用户组三个选项,支持多选。申请问答
可选择是否开启对资源设置申请问答,默认关闭。开启后,申请者在提交申请前需回答自定义问题。
- 应用范围:支持仅本级和本级及下级资源两个选项。
- 题目设置:添加题目并自定义问题,可添加多个题目。
- *题目:题目类型,支持问答、单选、多选三个选项。
- *问题:自定义要回答的问题,长度不超过512个字符。
- *选项:单选或多选问题的选项,每个问题至少设置两个选项。
说明
如果在库/表级别选择本级及下级资源,则申请库/表下的资源时需回答自定义问题,申请多条该库/表下资源时仅需填写一次。
新增表默认设置(设置完成后将对库下新增表生效)
默认保密级别
该库下新增表的保密级别,下拉可选。
说明
表的密级不能高于所在库的密级。
默认权限负责人
该库下新增表的权限负责人。输入租户账号关键字后,下拉可选,支持设置多个。
续期配置
可设置该库下新增表的访问权限是否允许续期。
申请配置
可选择对该库下新增表进行权限申请配置。
- 个人:下拉可选,支持选择多个。可以删除当前负责人,或者通过输入租户账号关键字,在下拉列表中选择增加新的负责人。
单击保存按钮,完成设置。
批量修改权限负责人
当由于某些原因,如工作关系发生变动,需要变更数据库权限负责人时,可通过该操作快速完成。勾选一个或多个选项后,单击修改权限负责人按钮,弹出修改权限负责人窗口。
根据需要设置权限负责人信息后,单击确定按钮完成批量修改。
参数
说明
更改方式
可选择以下任一更改方式,并从下拉列表中选择权限负责人。
- 覆盖为:表示用所选人员替换现有权限负责人。
例如,原权限负责人为 A、B、C,选择覆盖为 D,则权限负责人最终变更为 D。 - 添加到现有:表示将所选人员增加到现有负责人中。
例如,原权限负责人为 A、B、C,添加到现有选择 C、D,则权限负责人最终变更为 A、B、C、D。 - 查找并删除:表示若所选人员是现有负责人,则将其删除。
例如,原权限负责人为 A、B、C,选择查找并删除 B、C,则权限负责人最终变更为 A。说明
若查找不到,则不删除。
- 查找并替换:表示若查找的人员是现有负责人,则将其变更为替换为下拉框中选择的人员。
例如,原权限负责人为 A、B、C,选择查找 A 替换为 D,则权限负责人最终变更为 B、C、D。说明
若查找不到,则不替换。
是否将该修改应用在下级(如有)资源
可选择是否将该修改应用在下级资源,默认为否。
- 是,同时修改下级资源
- 否,仅应用在本资源
- 覆盖为:表示用所选人员替换现有权限负责人。
批量修改保密级别
勾选一个或多个选项后,单击修改保密级别按钮,在弹出的批量修改保密级别窗口中,设置保密级别后,单击确定按钮。批量配置整库申请限制
勾选一个或多个选项后,从更多设置下拉列表中选择整库申请配置,在弹出的批量设置申请限制(整库) 窗口中,设置申请限制信息后,单击确定按钮。批量配置新增表默认设置
勾选一个或多个选项后,从更多设置下拉列表中选择新增表默认设置,在弹出的新增表默认设置窗口中,设置新增表的密级和权限负责人后,单击确定按钮。批量修改续期配置
勾选一个或多个选项后,从更多设置下拉列表中选择修改续期配置,在弹出的批量续期配置窗口中,选择是否续期后,单击确定按钮。批量设置申请问答
勾选一个或多个选项后,从更多设置下拉列表中选择设置申请问答,在弹出的窗口中,设置申请问答信息后,单击确定按钮。
4 设置数据表权限
通过数据表权限设置功能,您可按需设置数据表整表、数据列和行限制的访问权限。
- 登录 DataLeap 控制台。
- 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表,进入数据表页面。
- 可执行以下操作:
- 搜索数据表
- 设置表权限
- 设置列权限
- 设置行权限
说明
- 设置单个数据表时,可同时设置行权限和列权限。
- EMR Hive、EMR StarRocks 表不支持列/行权限配置;ByteHouse CE、ByteHouse CDW 表不支持行权限配置。
4.1 搜索数据表
本功能支持普通搜索和批量搜索两种数据搜索方式,可以帮助您快速查找要配置的数据表。其中,批量搜索可解决用户“无清晰规则的资源筛选”场景下的批量设置问题,降低刷数据成本。
- 普通搜索
通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息,查询符合条件的数据表资源。设置搜索当设置多个搜索条件时,会取各个条件的交集,进行查询。 - 批量搜索
- 单击批量搜索按钮,弹出数据表批量搜索窗口。
- 根据提示下载并填写模板。
- 选择数据源并上传填写好的文件后,单击搜索按钮查看搜索结果。
说明
- 请按照模版说明填写您本人为管理者(Owner或权限负责人)的资源的名称,详细填写格式说明、样例可参考模板内容。
- 请填写所选数据源类型对应的当前页签下的资源,否则会被过滤。
- 最大解析限制1000条,建议每次搜索填写数据不超过1000条。
- 单击批量搜索按钮,弹出数据表批量搜索窗口。
4.2 设置表权限
配置单个数据表
单击某条数据表信息操作列的设置按钮,进入该数据表的权限设置页面,可修改表级别权限负责人、保密级别、申请配置、续期配置等。参数
说明
*按列申请
可选择是否开启按列申请权限。
- 选择开启时,申请人申请时可选择按列申请资源的访问权限。
- 选择关闭时,已获权的主体不会丢失权限,仅影响后续新的权限申请。当选择关闭时,需填写关闭原因。
说明
仅 ByteHouse CE 和 ByteHouse CDW 需配置该参数。
继承申请问答
当上级库资源设置了申请回答时,该资源会继承申请问答。若要更改该问答信息,则需联系上级资源负责人进行修改。
其他参数
其他参数说明请参见3 设置数据库权限部分。
批量配置数据表
可批量修改权限负责人、保密级别、整表申请限制、续期配置等,具体操作可参见3 设置数据库权限。
4.3 设置列权限
单击某条数据表信息操作列的设置按钮,进入该数据表的权限设置页面。
单击列权限设置页签,进入设置列权限页面。
设置列权限参数信息后,单击保存按钮,完成设置。
参数
说明
敏感列配置
新增的敏感列,如何处理原获权方的权限
通过单击 +敏感列按钮增加敏感列配置项后,可选择原获权方是否需要重新申请新增部分的权限。
- 全部授权:全部原“数据库和表”获权方将被授权。
- 不授权:原“数据库和表”获权方需按需重新申请“敏感列”权限,原列获权方、库管和表Owner权限不受影响。
说明
无论选择哪个选项,库管、表Owner都将被授予敏感列的永久权限。
敏感列名称
要设置为敏感列的字段名称,下拉可选该表已有的字段。
保密级别
敏感列的保密级别,下拉可选。
说明
敏感列的保密级别不受表密级的限制,可单独设置。
列权限负责人
敏感列的权限负责人,输入租户账号关键词后下拉可选。
列权限负责人可单独设置。该敏感列的权限负责人有对该列做权限设置的权力,如审批流、自动审批规则、列权限负责人、保密级别、续期配置、申请限制等的配置。同时该列权限负责人将作为审批流中的“权限负责人”节点,对列申请的工单进行审批。描述
对该字段的描述信息,自动显示,不支持手动维护。
该信息来自于该字段的字段描述,如需修改请前往数据地图平台进行操作。相关操作说明可参见相应类型数据表的数据检索文档。列默认设置(ByteHouse CE、ByteHouse CDW)
是否继承上级表设置
可选择是否继承上级表权限的设置。
- 是,列默认设置将继承表设置:列权限自动继承表的权限设置,默认选中。
- 否,自定义列默认设置:不继承表的权限设置,可自行配置列默认设置部分的保密级别、权限负责人、申请配置等参数。
说明
当字段密级有高于表密级的设置时,表密级也会自动升级至该密级。
列设置(ByteHouse CE、ByteHouse CDW)
使用列默认设置
通过列字段的编辑按钮,可按需编辑该列的权限信息,选择是否使用列默认设置。
- 是:自动继承列默认设置,默认选中。
- 否:不继承列默认设置,可自行配置列的保密级别、列权限负责人、申请配置等参数。
说明
仅 ByteHouse CE、ByteHouse CDW 表支持所有列权限的配置,不再区分敏感列和普通列。
4.4 设置行权限
单击某条数据表信息操作列的设置按钮,进入该数据表的权限设置页面。
单击行权限设置页签,进入行权限设置页面。
设置行限制的参数信息后,单击保存按钮,完成设置。
参数
说明
行默认设置
可对后续新增(含权限负责人增加、用户申请时手动新增等)的枚举值给予默认的基础设置,包括保密级别、默认权限负责人、续期配置和申请配置。
说明
- 如果新增枚举值默认设置不为空,则以此处配置生效;如果为空,则默认遵循表的基础设置。
- 设置完成后将对表下新增行限制(含申请者添加)生效,已存在的行限制需前往对应资源的权限设置页面的设置处进行维护。
行设置
按行申请
可选择是否开启按行申请权限。
- 开启:对该表开启行权限申请,用户可按行申请。即在申请页面可以选择按整表或按行申请。开启后对当前已有表权限的用户不会有任何影响。
- 关闭:默认关闭,表示该表不开放行权限申请,仅可按整表申请。如果之前开放过又选择关闭的,则仅影响后续申请者无法按行申请, 而以前已有行权限的用户,仍然可以对已存在的行权限进行管理。
手动增加枚举
可选择是否开放手动增加枚举。
若选择关闭,则在申请页面申请者将不可主动增加新的枚举值,仅可在已设置的枚举值中选择。受控字段
要控制访问条件的字段。可通过添加列字段按钮,从下拉列表中选择受控字段。
受控字段可设置多个枚举值,每个包含如下参数:- *枚举值:手动输入行限制枚举值,如Beijing、Shanghai。
- 保密级别:行的保密级别,下拉可选。行保密级别不可高于表保密级别。
- 行权限负责人:行限制的权限负责人,输入租户账号关键词后下拉可选。
该行的权限负责人有单独做权限设置的权力,如审批流、自动审批规则、列权限负责人、保密级别、续期配置、申请限制等的配置。同时该行权限负责人将作为审批流中的“权限负责人”节点对列申请的工单进行审批。 - 描述:对该枚举值添加描述,方便后续维护,以及申请者识别申请内容。
支持逐个添加和批量导入枚举值。
- 逐个添加:单击添加列字段,从下拉列表中选择受控字段后,单击 +枚举值按钮,设置行限制信息。
- 批量导入:下载批量模版,打开模板并设置行限制信息后,上传枚举值文件。
说明
- 由于库包含表,表权限包含行,因此库管、表Owner无需被授予行限制的永久权限。
- 批量添加枚举值时,下载的文件中包含当前表设置中已设置的枚举值,上传的文件则会覆盖列表中已有的枚举值信息。
- 支持删除已设置的枚举值。删除后,原获权方的该行权限将被回收,整表权限不受影响。
- 支持删除受控字段。删除后,原获权方的行权限将被回收,且可能会影响数据开发任务的正常运行,请谨慎操作!
5 设置列/行权限
在配置数据表时,可以同时完成列/行权限的配置和管理,具体操作可参见4 设置数据表权限部分。
添加数据列/行限制后,也可单独对其进行修改、删除等操作,操作步骤如下:
- 登录 DataLeap 控制台。
- 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表,进入数据表页面。
- 可执行以下操作:
- 单击数据列页签,进入敏感列权限设置页面,可以管理敏感列信息。
- 搜索数据列
- 通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息,查询符合条件的敏感列资源。当设置多个搜索条件时,会取各个条件的交集,进行查询。
- 单击批量搜索按钮,在弹出的窗口中,根据提示下载并填写模板后,上传填写好的文件,进行批量搜索。详细说明请参见4.1 搜索数据表。
- 管理单个数据列
单击某条列信息操作列的设置按钮,可修改单个敏感列的权限负责人、保密级别、申请配置与续期配置。 - 批量操作
勾选一个或多个选项后,可批量修改权限负责人、保密级别、敏感列申请配置、续期配置等。 - 删除列配置
单击某条列信息操作列的删除按钮,在弹出的确认删除对话框中,单击确定按钮,可以删除该列权限。
- 搜索数据列
- 单击行限制页签,进入行限制权限设置页面,可以管理行限制信息。
- 搜索行限制
- 通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息,查询符合条件的行限制资源。当设置多个搜索条件时,会取各个条件的交集,进行查询。
- 单击批量搜索按钮,在弹出的窗口中,根据提示下载并填写模板后,上传填写好的文件,进行批量搜索。详细说明请参见4.1 搜索数据表。
- 管理单个行限制
单击某条行限制信息操作列的设置按钮,可修改单个行限制的权限负责人、保密级别、申请配置与续期配置。 - 批量操作
勾选一个或多个选项后,可批量修改权限负责人、保密级别、行限制申请配置、续期配置等。 - 删除行限制配置
单击某条行限制信息操作列的删除按钮,在弹出的确认删除对话框中,单击确定按钮,可以删除该行限制。
- 搜索行限制
- 单击数据列页签,进入敏感列权限设置页面,可以管理敏感列信息。
注意
- 若删除行限制,将会影响已获行限制权限的用户,且可能会影响数据开发等多方任务的正常运行,需谨慎操作。
- 管理数据列/行限制的具体操作,可参见设置数据库权限和设置数据表权限部分。
6 设置资源包权限
资源包可以看作是数据库的一个子集。您可以把单个数据库内的表、行、列打包为一个或多个资源包,并将资源包作为一个单独资源进行管理,包括单独设置权限负责人、密级、审批流等。例如,可对同一个库下N张表的行限制“appid=00001”打包,由该appid的权限负责人统一审批、管理。申请者可申请资源包,通过一条资源包的审批流程可获得包内所有权限。
- 登录 DataLeap 控制台。
- 选择概览 > 数据安全 > 权限管理 > 权限设置 > 资源包,进入资源包页面。
- 可查看资源包列表,并执行以下操作:
新建资源包
- 单击新建资源包按钮,进入新建资源包页面。
- 设置基础信息、权限设置、审批流、自动审批等相关信息,依次单击下一步按钮,设置完成后,单击完成按钮完成创建。
参数
说明
基础信息
*数据源
目前仅支持 Las,默认选中。
*数据库
要打包资源的数据库,可输入已创建的数据库关键词后下拉选择。
说明
- 只允许选择同一个数据库内的资源创建资源包,如更换选定的数据库,将会清空当前添加所有资源。
- 子账号创建资源包时,仅可选择自己作为权限负责人的数据库。成为库权限负责人的相关说明可参见管理 LAS 库。
*资源包名称
资源包的名称,自行设定。同一数据库下的资源包名称不可重复。
资源包名称仅可由中文、数字、字母、'-'或'_'组成。描述
资源包的描述信息,以便后续管理。
添加资源
*资源类型
添加的资源类型,支持数据库、数据表、敏感列、行限制四个类型选项,可分别选择添加到同一个资源包中。
*添加资源
添加到资源包中的资源,下拉可选。
添加的资源会显示在列表中,可以按需修改资源的访问类型,也可移除不需要的资源。权限设置
*权限负责人
资源包的权限负责人,默认为当前用户,可输入账号关键词下拉选择其他用户,支持设置多个。
*保密级别
资源包的保密级别,默认为所有添加资源的最高密级,可下拉选择其他。
说明
资源包密级不得低于添加资源的密级。
*续期配置
可设置是否允许续期。
- 允许续期:允许获权方续期。
- 禁止续期:禁止获权方续期。选择该选项时,需填写原因,并可设置白名单。
- 原因:填写不允许续期的原因。
- 个人白名单:在个人白名单内的获权方允许续期。可输入账号关键词下拉选择,支持设置多个。
申请配置
选择是否开放资源包访问权限的申请。
当选择不开放时,需填写禁止申请的原因;当选择开放时,可设置禁止申请的类型,包括多人、单人两个选项,支持多选。审批流和自动审批
审批流
资源包的审批流。
- 若数据库未开启审批流继承,则自动填充默认审批流,可自定义审批流,相关说明可参见设置审批流。
- 若数据库开启了审批流继承,则遵循继承规则。
自动审批
资源包的自动审批设置。
- 若全局和库均未开启资源包自动审批,可在此对资源包单独开启。
- 若全局或者库开启了资源包自动审批,则资源包自动遵循上级规则。
搜索资源包
设置搜索信息,可以查看符合条件的资源包列表。查看资源详情
单击某条资源包信息操作列的资源详情按钮,可查看其包含的资源详情,并执行以下操作:- 单击添加资源按钮,添加新的资源。修改即时生效,将对当前所有获权方产生影响。
- 单击编辑按钮,修改已有资源的权限访问类型后,单击确认按钮完成修改。
- 单击某条资源信息操作列的删除图标,二次确认后,可将该资源移出资源包。
查看授权详情
单击某条资源包信息操作列的授权详情按钮,可以跳转到该资源包的授权管理页面,查看并管理其授权信息,相关操作说明请参见授权管理。权限设置等操作
资源包的权限设置、审批流设置、自动审批设置、操作历史等与单条资源的操作逻辑均一致,相关操作说明可参见设置数据库权限部分。
说明
- 仅可查看并管理您作为库管、库权限负责人或资源包负责人的资源包。
- 在单条资源的授权详情处也可查看通过资源包获得权限的获权方,但仅能在资源包授权详情处修改其权限。