华为云用户手册

查看策略及详情 在 DataArts Studio 控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击左侧导航树中的“成员管理”，进入成员管理页面。 图2 进入成员管理 单击操作栏中的“编辑”，在弹窗中可以为成员添加或删除所在的角色/权限集，管理其权限。 图3 编辑角色/权限集 单击操作栏中的“查看权限”，可以查看当前成员的基本信息，以及拥有的权限以及权限来源。

前提条件 已完成敏感数据规则组定义，请参考定义识别规则分组。 已在管理中心创建 数据仓库 服务（DWS）、 数据湖探索 （ DLI ）、 MapReduce服务 （ MRS Hive）类型的数据连接，请参考新建数据连接。 如需将识别的敏感数据自动同步到数据地图组件，则必须由DAYU Administrator或Tenant Administrator用户创建、运行或调度任务。 敏感数据同步到数据地图组件时，如需将敏感数据的分类同步成功，需要同时满足如下前提： 已在数据目录组件，对数据表成功进行过元数据采集，详见元数据采集任务。 管理中心组件对应的数据连接，已开启“元数据实时同步”功能，详见新建数据连接。

创建密级 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击数据安全左侧导航树中的“数据密级”，进入数据密级页面。 单击“新建”，参考表1输入数据密级信息。 表1 参数设置 参数名 参数设置 *密级名称 密级名称只能包含中文、英文字母、数字和下划线，创建完成后不支持“编辑”操作。 密级描述 密级描述支持所有字符输入，创建完成后支持通过“编辑”操作修改。 新建密级时，系统默认按照安全程度由低到高的顺序依次创建。您可以在密级建立好后，按照安全程度高低，通过“上移”、“下移”操作来调整密级顺序。

DataArts Studio使用流程简介 使用DataArts Studio平台，通常包括以下步骤： 表1 DataArts Studio全流程开发 主流程 说明 子任务 操作指导 流程设计 在使用DataArts Studio前，建议您通过流程设计提前分析业务情况，明确业务诉求，并结合DataArts Studio服务的能力进行业务流程设计。 需求分析。分析业务情况，明确业务诉求，并提炼出 数据治理 流程的实现框架，支撑具体数据治理实施流程的设计。 业务调研。明确DataArts Studio服务的能力边界，并分析后续的业务负载情况。 流程设计。以实际业务情况结合DataArts Studio服务的业务能力，完成数据治理业务流程设计，后续的数据治理操作均基于所设计的业务流程完成。 需求分析 业务调研 流程设计 流程设计与实际业务强相关，您可以参考基于出租车出行数据的数据治理流程设计进行流程设计，或通过咨询了解。 准备工作 如果您是第一次使用DataArts Studio，需要先完成 注册华为账号 、购买DataArts Studio实例、创建工作空间、创建用户并授予DataArts Studio权限、添加工作空间成员和角色等一系列操作。 准备工作 准备工作 管理中心 根据自身的业务特点和源数据类型，进行数据存储与分析系统的选型，选取合适的云服务用于存储源数据并进行数据查询和分析。然后，创建该云服务相应的数据连接。 创建数据连接 管理数据连接 数据集成 通过DataArts Studio平台将源数据上传或者接入到云上。 数据集成提供同构/异构数据源之间批量数据迁移的服务，支持自建和云上的文件系统，关系数据库，数据仓库，NoSQL，大数据云服务，对象存储等数据源。 数据集成 支持的数据源 创建 CDM 集群 新建连接 新建表/文件迁移作业 数据目录（元数据采集） 为了在DataArts Studio对迁移到云上的原始数据层进行管理和监控，先对其元数据进行采集并监控。 元数据采集 元数据采集 数据架构 数据架构以关系建模、维度建模理论支撑实现规范化、可视化、标准化数据模型开发，定位于数据治理流程设计落地阶段，输出成果用于指导开发人员实践落地数据治理方法论。 根据业务需求设计关系模型、维度模型，在数据架构模块中，一步一步建立模型中的对象，例如维度、事实表、指标、汇总表等。 添加审核人 添加审核人 管理配置中心 管理配置中心 流程设计 流程设计 主题设计 主题设计 码表管理 新建码表 制定数据标准 新建数据标准 关系建模 关系建模 维度建模 维度建模 业务指标 业务指标 技术指标 技术指标 数据集市建设 新建汇总表 数据开发 可管理多种大数据服务，提供一站式的大数据开发环境。 使用DataArts Studio数据开发，用户可进行数据管理、数据集成、脚本开发、作业开发、作业调度、运维监控等操作，轻松完成整个数据的处理分析流程。 数据管理 数据管理流程 脚本开发 脚本开发流程 作业开发 作业开发流程 运维调度 运维概览 数据质量 对业务指标和数据指标进行监控。您可从完整性、有效性、及时性、一致性、准确性、唯一性六个维度进行单列、跨列、跨行和跨表的分析。支持数据的标准化，能够根据数据标准自动生成标准化的质量规则。支持周期性的监控。 业务指标监控 新建指标 新建规则 新建业务场景 数据质量监控 新建规则模板 新建质量作业 新建对账作业 数据目录（数据地图与数据权限） 在DataArts Studio数据目录模块中，您可以查看数据地图，还可以进行数据权限管理。 数据地图 数据地图简介 数据权限 数据权限简介 数据安全 数据安全为 数据湖 提供数据生命周期内统一的数据使用保护能力。在数据安全模块，您可以进行访问权限管理、敏感数据识别、隐私保护管理等操作。 统一权限治理 使用流程 敏感数据治理 敏感数据简介 隐私保护管理 隐私保护简介 数据服务 统一管理对内对外的 API服务 ，提供快速将数据表生成数据API的能力，同时支持将现有的API快速注册到数据服务平台以统一管理和发布。 开发API 准备工作 创建API 调试API 发布API 管理API 流量控制 调用API 调用API

新建空间资源权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击左侧导航树中的“空间资源权限”，进入空间资源权限页面。 图2 进入空间资源权限页面 单击空间资源权限页面的“新建” ，在弹出的策略配置页参考表1配置相关参数，配置完成单击“确定”，策略配置完成。 表1 配置空间资源权限策略参数说明 参数名 参数描述 *策略名称 标识空间资源权限策略，为便于策略管理，建议名称中包含资源对象和授权对象。 资源对象 数据连接 选择需要授权的管理中心组件数据连接。如需新建数据连接，请参考新建数据连接。 说明： 对于未选择的数据连接，则默认该连接权限放开，不做权限管控。 对于选择的数据连接，则非授权对象的普通用户（指非管理员用户，即非DAYU Administrator、Tenant Administrator或预置的工作空间管理员角色的用户）将无权再查看并使用该连接。 委托 选择需要授权的 IAM 委托，仅限于委托对象为“数据湖治理中心 DGC”的云服务类型委托。如需新建委托，请参考参考：创建委托。 说明： 对于未选择的委托，则默认该委托权限放开，不做权限管控。 对于选择的委托，则非授权对象的普通用户（指非管理员用户，即非DAYU Administrator、Tenant Administrator或预置的工作空间管理员角色的用户）将无权再查看并使用该委托。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图3 新建空间资源权限策略

约束与限制 当前仅支持简单模式的工作空间资源管控，不支持企业模式。 如果未对某资源进行赋权，则默认该资源权限放开，不做权限管控。 当前仅数据开发组件支持空间资源权限策略，其他组件不受空间资源权限策略限制。在数据开发组件如下场景中，会根据空间资源权限策略进行鉴权。 脚本开发或者作业开发中，选择连接或作业委托、公共委托。 提交脚本或者作业。 对于历史版本中直接在数据开发组件创建的数据连接，暂不支持进行资源权限管理。 对于已有的空间资源权限策略，当已删除对应资源后，策略不会随之自动删除。

手工修正数据状态 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图4 选择数据安全 单击左侧导航树中的“敏感数据分布”，进入敏感数据分布页面。 在页面上方单击“手工修正”，查找待修正的规则名称，单击“确认”、“忽略”或“数据同步”，手工修正数据状态。 确认：使该规则在静态脱敏任务中有效。“未确认”或“无效”状态的规则可以进行确认操作。 忽略：使该规则在静态脱敏任务中无效。“有效”状态的规则可以进行忽略操作。 数据同步：如果在敏感数据发现任务中勾选了“手动同步数据识别结果”，则还需要手动点击“数据同步”，才能将识别到的敏感数据同步到数据地图组件。 图5 修正敏感数据

创建Kafka权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图19 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Kafka组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图20 新建kafka权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图21 配置Kafka权限策略 表8 Kafka权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 策略条件 指定可访问Kafka主题的IP地址范围。 Topic Kafka集群的消息主题。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 策略条件：指定可访问Kafka主题的IP地址范围。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 策略条件：指定可访问Kafka主题的IP地址范围。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Storm权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图22 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Storm组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图23 新建Storm权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图24 配置Storm权限策略 表9 Storm权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 Topology 该参数表示Storm集群中的任务。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建HBase权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图13 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略HBase组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图14 创建HBase权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图15 配置HBase权限策略 表6 HBase权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 列族 必填项，此项表示HBase中Column Family，多列的集合。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Yarn权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图16 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Yarn组件的“配置” ，进入配置界面单击“创建”，新建权限策略。 图17 新建Yarn权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，完成策略配置。 图18 配置Yarn权限策略 表7 Yarn权限策略参数表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 队列 Yarn服务中的资源调度队列。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Hive访问权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图4 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“访问”页签，单击“创建”，新建权限策略。 图5 新建权限策略入口 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图6 配置Hive权限策略 权限策略参数说明表： 表3 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

创建Hive脱敏权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图7 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“脱敏”页签，单击“创建”，新建权限策略。 图8 新建权限策略界面 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图9 配置Hive权限策略界面 表4 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 脱敏 定义用户或用户组访问数据的脱敏方式。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 脱敏方式：按照该参数选定的指对Hive表中需要进行权限控制的列进行脱敏。

创建Hive行级过滤器权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图10 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略Hive组件的“配置” ，进入配置界面选择“行级过滤器”页签，单击“创建”，新建权限策略。 图11 创建Hive行级过滤器权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图12 配置Hive权限策略参数 表5 Hive权限策略参数说明表 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 数据库 必填项，此项表示需要进行权限控制的数据库，支持模糊搜索。 数据表 必填项，此项表示需要进行权限控制的数据表，支持模糊搜索。 列 必填项，此项表示需要进行权限控制的列，支持模糊搜索。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 行级过滤器 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 行级过滤器：根据字段内容进行过滤，格式一般为：属性=属性值。例如：state=1。

创建HDFS权限策略 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击左侧导航树中的“资源权限配置”，进入资源权限配置页面。 单击待创建权限策略HDFS组件下“hacluster”的“配置” ，进入配置界面单击“创建”，新建权限策略。 图2 新建权限策略 在弹出的策略配置页配置相关参数，配置完成单击“确定”，策略配置完成。 图3 配置权限策略 表2 配置HDFS权限策略参数说明 参数名 参数描述 策略类型 根据用户所选服务组件自动生成。包括访问、脱敏、行过滤器，其中脱敏和行过滤器类型是Hive特有的。 策略状态 开启表示权限策略生效，关闭表示权限策略创建成功后不生效。默认开启。 可覆盖 开启可覆盖时，新创建的策略将覆盖当前策略（新策略生效而旧策略不生效）。默认开启。 当用户需要创建一个临时访问策略时，“可覆盖”可以配合“有效时间”一起使用，那么即使临时访问策略超过有效期失效后，也不影响原有的权限策略继续生效。 审计日志 开启表示记录日志，日志内容包括客户端访问时间、客户端IP、客户端用户、操作资源结果等信息。 策略名称 名称为必填项，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符，且输入不能为空。 描述 对策略的描述信息，长度限制在256个字符以内。 资源路径 访问权限控制的HDFS路径。 递归 开启表示资源路径为递归方式。关闭表示资源路径为非递归方式。默认开启。 有效时间 用户通过设置开始时间和结束时间来控制策略的生效时间段，可配置多条。 允许访问 定义允许访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义允许访问的用户拥有的权限。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。 添加排除项 允许访问勾选“添加排除项”意思是在允许访问的用户组里添加禁止访问的用户。 禁止访问勾选“添加排除项”意思是在禁止访问的用户组里添加允许访问的用户。 拒绝所有其他访问 勾选此项表示只有策略中“允许访问”指定的用户或用户组可以访问，其他用户均禁止访问。 禁止访问 不勾选“拒绝所有其他访问”时显示此配置，该配置定义禁止访问的用户和用户组。 用户：MRS服务的用户。 角色：MRS服务的角色。 用户组：MRS服务的用户组。 权限：定义用户禁止的权限类型。权限和用户允许同时为空值，或者同时不为空值。服务相关权限详情请参考表1。 委托用户：当勾选此项时，管理权限将分配给适用的用户和组。受委托的管理员可以更新和删除策略，还可以基于原始策略创建子策略。

支持访问控制的MRS组件及权限列表 Ranger通过插件的方式对MRS集群（MRS集群版本为3.0.0及以上）中的组件进行集成。通过Ranger可以对组件进行细粒度的访问权限控制。目前已经支持的组件及相关权限如表1所示。 表1 支持的组件及权限列表 组件名 权限说明 HDFS HDFS文件的权限： Read：读权限 Write：写权限 Excute：执行权限 Hive Hive数据库、数据表、列的权限： Select：查询权限 Update：更新权限 Create：创建权限 Drop：drop操作权限 Alter：alter操作权限 All：所有执行权限 Temporary UDF Admin：临时UDF管理权限 Yarn Yarn队列权限： submit-app：提交队列任务权限 admin-queue：管理队列任务权限 HBase HBase列、列族的权限： Read：读权限 Write：写权限 Create：创建权限 Admin：管理员权限 Kafka Kafka的Topic权限： Publish：生产权限 Consume：消费权限 Configure：topic扩容权限 Describe：查询权限 Create：创建主题权限 Delete：删除主题权限 Describe Configs：查询配置权限 Alter Configs：修改配置权限 Storm Storm的Topology权限： Submit Topology：提交拓扑 File Upload：上传文件 File DownLoad：下载文件 Kill Topology：删除拓扑 Rebalance：Rebalance权限 Activate：激活权限 Deactivate：去激活权限 Get Topology Conf：获取拓扑配置 Get Topology：获取拓扑 Get User Topology：获取用户拓扑 Get Topology Info：获取拓扑信息 Upload New Credential：上传新的凭证

申请权限 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图4 选择数据安全 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面的权限申请页签，单击“创建权限申请”，创建权限申请工单。 图5 创建权限申请 在权限申请工单页面中，参考表1完成工单填写。 图6 填写工单 表1 权限申请工单参数说明 配置项 说明 基本信息 *工作空间 选择已配置空间权限集的工作空间。 *空间权限集 选择空间权限集，空间权限集权限范围应已包含所需资源权限。 *数据源类型 当前仅支持Hive。 *集群名称 选择要申请的资源所在的集群。 *数据连接 选择要申请的资源所在的数据连接。 资源选择 *待添加资源 在导航树上选择数据库后，勾选所需的数据表，单次申请时支持选择不同数据库下的表。 说明： 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置所选数据表中所有列的SELECT权限。 另外，导航树上的快速模式开启后，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。推荐开启快速模式。 *已选择资源 在已选择资源列表中可查看所选的表、权限和审批人信息。 说明： 审批人来自权限集/角色的管理员。例如，如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限，审批人可以选择为权限集A或角色B管理员；如果只有空间权限集定义了所选数据表中所有列的SELECT权限，审批人为空间权限集的管理员。 申请信息 为自己 勾选为自己后，可为自己申请所选择的资源权限。 空间账号 当在数据开发组件配置调度的公共IAM账号后，可为空间账号申请所选择的资源权限。 为他人 可选择工作空间内的成员，为其申请所选择的资源权限。 *申请原因 填写申请原因，便于审批人审视是否应当审批。 工单填写完成后，单击提交可生成一条待审批的工单记录。在工单列表处，可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情，并支持撤回未审批的工单。 图7 工单列表

审批权限 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图8 选择数据安全 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，审批人单击“权限审批”进入权限审批页签。 图9 权限审批 在权限审批页签中，工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情。请从业务合理性和数据安全角度审视，确认“通过”或“驳回”该工单，同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。 在权限审批页签中，单击“已审批”，可查看已经审批通过的工单。 图10 已通过工单列表

创建分类 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击数据安全左侧导航树中的“数据分类”，进入数据分类页面。 单击分类目录上方的 ，新建分类。参考表1输入数据分类信息。 表1 参数设置 参数名 参数设置 *分类名称 分类名称只能包含中文、英文字母、数字和下划线，创建完成后不支持“编辑”操作。 描述 分类描述支持所有字符输入，创建完成后支持通过“编辑”操作修改。 首次新建分类时，需要通过按钮，至少新增一个分类信息。后续才能先选择已有分类，再使用新增子级分类。

相关操作 编辑分类：在数据分类页面，先选择分类目录中需要修改的目录，然后单击分类目录上方的，即可修改分类名称和描述。 删除分类：在数据分类页面，先选择分类目录中需要删除的目录，然后单击分类目录上方的，即可删除分类。 删除操作无法撤销，请谨慎操作。 编辑数据分类目录：当需要整体编辑目录时，可以单击分类目录上方的，进入“编辑数据分类目录”页面。在“编辑数据分类目录”页面，支持新增子级分类，或批量删除分类。 删除操作无法撤销，请谨慎操作。

整库迁移支持的数据源类型 整库迁移适用于将本地数据中心或在E CS 上自建的数据库，同步到云上的数据库服务或大数据服务中，适用于数据库离线迁移场景，不适用于在线实时迁移。 数据集成支持整库迁移的数据源如表2所示。 表2 整库迁移支持的数据源 数据源分类 数据源 读取 写入 说明 数据仓库 数据仓库服务（DWS） 支持 支持 - Hadoop （仅支持本地存储，不支持存算分离场景，不支持Ranger场景，不支持ZK开启SSL场景） MRS HBase 支持 支持 整库迁移仅支持导出到MRS HBase。 建议使用的版本： 2.1.X 1.3.X MRS Hive 支持 支持 整库迁移仅支持导出到关系型数据库。 暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X FusionInsight HBase 支持 不支持 建议使用的版本： 2.1.X 1.3.X FusionInsight Hive 支持 不支持 整库迁移仅支持导出到关系型数据库。 暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X Apache HBase 支持 不支持 建议使用的版本： 2.1.X 1.3.X Apache Hive 支持 不支持 整库迁移仅支持导出到关系型数据库。 暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X 关系数据库 云数据库 MySQL 支持 支持 不支持OLTP到OLTP迁移，此场景推荐通过 数据复制服务 DRS进行迁移。 云数据库 PostgreSQL 支持 支持 云数据库 SQL Server 支持 支持 MySQL 支持 不支持 PostgreSQL 支持 不支持 Microsoft SQL Server 支持 不支持 Oracle 支持 不支持 SAP HANA 支持 不支持 仅支持2.00.050.00.1592305219版本。 仅支持Generic Edition。 不支持BW/4 FOR HANA。 仅支持英文字母的数据库名、表名与列名，不支持存在空格、符号等特殊字符。 仅支持日期、数字、布尔、字符（除SHORTTEXT） 类型的数据类型，不支持二进制类型等其他数据类型。 迁移时不支持目的端自动建表。 达梦数据库 DM 支持 不支持 仅支持导出到DWS、Hive NoSQL Redis 支持 支持 - 文档数据库服务（DDS） 支持 支持 仅支持DDS和MRS之间迁移。 表格存储服务 （CloudTable） 支持 支持 -

表/文件迁移支持的数据源类型 表/文件迁移可以实现表或文件级别的数据迁移。 表/文件迁移时支持的数据源如表1所示。 表1 表/文件迁移支持的数据源 数据源分类 源端数据源 对应的目的端数据源 说明 数据仓库 数据仓库服务（DWS） 数据仓库：数据仓库服务（DWS），数据湖探索（DLI），MRS ClickHouse Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储： 对象存储服务 （OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server，MySQL，PostgreSQL，Microsoft SQL Server，Oracle NoSQL： 表格存储 服务（CloudTable） 搜索：Elasticsearch， 云搜索服务 （ CSS ） 不支持DWS物理机纳管模式。 数据湖探索（DLI） - MRS ClickHouse 数据仓库：MRS ClickHouse，数据湖探索（DLI） MRS ClickHouse建议使用的版本：21.3.4.X。 Hadoop MRS HDFS 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server，MySQL，PostgreSQL，Microsoft SQL Server，Oracle NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch， 云搜索 服务（CSS） 支持本地存储，仅MRS Hive、MRS Hudi支持存算分离场景。 仅MRS Hive支持Ranger场景。 不支持ZK开启SSL场景。 MRS HDFS建议使用的版本： 2.8.X 3.1.X MRS HBase建议使用的版本： 2.1.X 1.3.X MRS Hive、MRS Hudi暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X MRS HBase MRS Hive 数据仓库：数据仓库服务（DWS），数据湖探索（DLI），MRS Clickhouse Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server，MySQL，PostgreSQL，Microsoft SQL Server，Oracle NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） MRS Hudi 数据仓库：数据仓库服务（DWS） FusionInsight HDFS 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） FusionInsight数据源不支持作为目的端。 仅支持本地存储，不支持存算分离场景。 不支持Ranger场景。 不支持ZK开启SSL场景。 FusionInsight HDFS建议使用的版本： 2.8.X 3.1.X FusionInsight HBase建议使用的版本： 2.1.X 1.3.X FusionInsight Hive建议使用的版本： 1.2.X 3.1.X FusionInsight HBase FusionInsight Hive Apache HBase 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） Apache数据源不支持作为目的端。 仅支持本地存储，不支持存算分离场景。 不支持Ranger场景。 不支持ZK开启SSL场景。 Apache HBase建议使用的版本： 2.1.X 1.3.X Apache Hive暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X Apache HDFS建议使用的版本： 2.8.X 3.1.X Apache Hive Apache HDFS 对象存储 对象存储服务（OBS） 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） 对象存储服务之间的迁移，推荐使用 对象存储迁移 服务 OMS 。 不支持二进制文件导入到数据库或NoSQL。 文件系统 FTP 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） 文件系统不支持作为目的端。 FTP/SFTP到搜索的迁移仅支持如CSV等文本文件，不支持二进制文件。 文件系统到OBS的迁移推荐使用obsutil工具，请参见obsutil简介。 SFTP HTTP Hadoop：MRS HDFS 关系型数据库 云数据库 MySQL 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive，MRS Hudi 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server 搜索：Elasticsearch，云搜索服务（CSS） OLTP数据库之间的迁移推荐通过数据复制服务DRS进行迁移。 云数据库 MySQL不支持SSL模式。 Microsoft SQL Server建议使用的版本：2005以上。 金仓和 GaussDB 数据源可通过PostgreSQL连接器进行连接，支持的迁移作业的源端、目的端情况与PostgreSQL数据源一致。 云数据库 SQL Server 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server 搜索：Elasticsearch，云搜索服务（CSS） 云数据库 PostgreSQL MySQL 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive，MRS Hudi 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） PostgreSQL Oracle Microsoft SQL Server 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） SAP HANA 数据仓库：数据湖探索（DLI） Hadoop：MRS Hive SAP HANA数据源存在如下约束： SAP HANA不支持作为目的端。 仅支持2.00.050.00.1592305219版本。 仅支持Generic Edition。 不支持BW/4 FOR HANA。 仅支持英文字母的数据库名、表名与列名，不支持存在空格、符号等特殊字符。 仅支持日期、数字、布尔、字符（除SHORTTEXT） 类型的数据类型，不支持二进制类型等其他数据类型。 迁移时不支持目的端自动建表。 分库 数据仓库：数据湖探索（DLI） Hadoop：MRS HBase，MRS Hive 搜索：Elasticsearch，云搜索服务（CSS） 对象存储：对象存储服务（OBS） 分库数据源不支持作为目的端。 分库指的是同时连接多个后端数据源，该连接可作为作业源端，将多个数据源的数据合一迁移到其他数据源上。 NoSQL Redis Hadoop：MRS HDFS，MRS HBase，MRS Hive 除了表格存储服务（CloudTable）外，其他NoSQL数据源不支持作为目的端。 文档数据库服务（DDS） MongoDB 表格存储服务（CloudTable HBase） 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server，MySQL，PostgreSQL，Microsoft SQL Server，Oracle NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） Cassandra 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） 消息系统 数据接入服务 （DIS） 搜索：云搜索服务（CSS） 消息系统不支持作为目的端。 Apache Kafka DMS Kafka MRS Kafka 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） MRS Kafka不支持作为目的端。 仅支持本地存储，不支持存算分离场景。 不支持Ranger场景。 不支持ZK开启SSL场景。 搜索 Elasticsearch 数据仓库：数据仓库服务（DWS），数据湖探索（DLI） Hadoop：MRS HDFS，MRS HBase，MRS Hive 对象存储：对象存储服务（OBS） 关系型数据库：云数据库 MySQL，云数据库 PostgreSQL，云数据库 SQL Server NoSQL：表格存储服务（CloudTable） 搜索：Elasticsearch，云搜索服务（CSS） Elasticsearch仅支持非安全模式。 云搜索服务（CSS） 导入数据到CSS推荐使用Logstash，请参见使用Logstash导入数据到Elasticsearch。 上表中非云服务的数据源，例如MySQL，既可以支持用户本地数据中心自建的MySQL，也可以是用户在ECS上自建的MySQL，还可以是第三方云的MySQL服务。

指标配置 在数据架构控制台，单击左侧导航树中的“配置中心”，然后再选择“指标配置”页签。 管理业务指标 新建指标 单击业务指标自定义项旁的新建按钮，或在已有指标的情况下，单击操作列的图标新增指标。完成后配置如下参数，然后单击“保存”。 图12 新建指标 表3 新建指标参数说明 参数名称 说明 选项名称 自定义指标名称。不超过100字符。 选项名称（英文） 自定义指标英文名称。不超过100字符。 可选值 设置自定义指标在创建业务指标时的可选值。 是否必填 设置自定义指标在创建业务指标时是否为必填项 描述 自定义指标的描述。不超过200字符。 调整指标排序 在有多个指标的情况下，可以通过操作列调整指标的排序。单击图标可进行指标的上移或者下移，双击图标可以输入序号将当前行移动到指定位置。 图13 调整指标排序 图14 移动到指定位置 删除指标 如果需要删除自定义指标，单击操作列的图标就可删除该指标。 图15 删除指标 完成自定义指标的设置后，在新建业务指标界面和完成发布的业务指标的基本信息界面，会显示已保存的自定义指标。 图16 新建业务指标 图17 基本信息界面

编码规则 在数据架构控制台，单击左侧导航树中的“配置中心”，然后再选择“编码规则”页签。 管理编码规则。 添加编码规则 如果需要自定义编码规则，在“编码规则”列表上方，单击“添加”，在弹出对话框中，配置如下参数，然后单击“确定”。 图11 添加编码规则 表2 添加编码规则说明 参数名称 说明 类型 选择编码规则的类型，当前支持如下六种： 业务指标，逻辑实体，逻辑属性， 数据标准、码表、业务对象。 生效范围 生效范围默认是全局。可以选择 主题、流程、码表、数据标准下一级路径。 系统规则 是否为系统规则。自定义的编码规则系统预置为否，不能修改。 编码规则 采用前缀+数字码的方式，不能修改。 前缀 可以是“英文字符”+“数字”的方式，但不能以数字结尾。支持修改。 数字码 支持顺序码和随机码两种方式。 起始码 数字码范围的起始值。 结束码 数字码范围的终止值。 编码示例 根据前缀动态修改后，可以更新展示。 删除编码规则 如果需要删除自定义编码规则，在“编码规则”列表勾选待删除的编码规则，单击列表上方的“删除”，在弹出对话框中，单击“是”即可删除。 系统预置的六个编码规则（逻辑实体、 数据标准、逻辑属性、业务指标、码表、业务对象），不可以删除。 编辑编码规则 如果需要修改自定义编码规则，单击“编码规则”列表中待修改编码规则的“编辑”，弹出“修改编码规则”对话框，修改完成后，单击“确定”。

字段类型 当您执行新建表、逆向数据库或模型转换等操作时，如果系统默认的数据类型或不同数据源之间的数据类型映射关系无法满足需求，您可以增加、删除或修改数据类型。系统默认的数据类型不支持删除。 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“字段类型”页签。 在“字段类型”页面，您可以查看数据类型及不同数据源之间的数据类型映射关系，其中“创建人”为SYSTEM的类型为系统默认的字段类型。 类型分组说明如下： DEFAULT：通用数据类型，未指定数据源类型时建表所用的字段类型。例如，新建逻辑模型的表时，就是使用DEFAULT分组中的数据类型。 DLI：DLI连接类型的表的数据类型。 DWS：DWS连接类型的表的数据类型。 MRS_HIVE：MRS_HIVE连接类型的表的数据类型。 MRS_SPARK：MRS_SPARK连接类型Hudi表的数据类型。 POSTGRESQL：POSTGRESQL连接类型的表的数据类型。 CLICKHOUSE：CLICKHOUSE连接类型的表的数据类型。 MYSQL：MYSQL连接类型的表的数据类型。 ORACLE：ORACLE连接类型的表的数据类型。 图8 字段类型 管理字段类型。 新建类型 如果要增加数据类型，单击“新建”按钮。在弹出对话框中，配置如下参数，然后单击“确定”。 图9 新建类型 表1 基本配置 参数名称 说明 类型分组 选择新建类型所属的类型分组。 名称 数据类型的名称。只能包含中文、英文字母、数字、左右括号、空格和下划线，且以中文或英文字母开头。 编码 数据类型的编码，必须为数仓支持的类型。只能包含大写字母，下划线，数字，且以大写字母或下划线开头。 所属域 选择新建类型所属的域。 是否有拓展 对于某些数据类型，需要设定数据的长度范围时，可以打开“是否有拓展”开关，并配置对应的拓展。 例如高精度数据类型DECIMAL(p,s)，需要分别指定小数的最大位数(p)和小数位的数量(s)，则数据类型DECIMAL的默认拓展可填写为“(10,2)”，指的是小数点左侧的位数为2，小数点右侧的最大位数为10-2=8；又如数据类型VACHAR也需要指定位数，当默认拓展填写为“10”，指的是最大长度为10字符。 数仓对应类型 选择新建类型所映射连接的数据类型。 DEFAULT 选择新建类型所映射的DEFAULT连接的数据类型。 CLICKHOUSE 选择新建类型所映射的CLICKHOUSE连接的数据类型。 DLI 选择新建类型所映射的DLI连接的数据类型。 DWS 选择新建类型所映射的DWS连接的数据类型。 MRS_HIVE 选择新建类型所映射的MRS_HIVE连接的数据类型。 MYSQL 选择新建类型所映射的MYSQL连接的数据类型。 ORACLE 选择新建类型所映射的ORACLE连接的数据类型。 POSTGRESQL 选择新建类型所映射的POSTGRESQL连接的数据类型。 编辑类型 在字段类型列表中，找到需要编辑的字段类型，然后单击按钮进行编辑，参数说明请参见表1。 删除类型 仅支持对于用户新建的数据类型进行删除操作。“创建人”为SYSTEM的类型为系统默认的字段类型，不支持删除操作。 在字段类型列表中，找到需要删除的字段类型，单击按钮，然后在弹出对话框中单击“确定”完成删除。 重置 单击“字段类型”页面底部的“重置”按钮，可恢复系统默认配置。

DDL模板管理 在DataArts Studio数据架构中，支持修改各种类型（例如DLI、POSTGRESQL、DWS、Hive、SPARK）的表或DLI视图的DDL模板。如果您需要将已创建的某一类型的表生成其他数据源的DDL语句，您就可以根据目标数据源的DDL语法，修改该类型的表的DDL模板。 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“DDL模板管理”。 在“DDL模板管理”页面，您可以配置各种类型的表或DLI视图的DDL模板，您可以参考该页面中的“填写说明”修改DDL模板，修改完成后单击“确定”。如果单击“重置”可恢复默认设置。 如图10所示，说明如下： 新建：可查看或编辑新建表或DLI视图的DDL模板。 更新：可查看或编辑更新表或DLI视图的DDL模板。 删除：可查看或编辑删除表或DLI视图的DDL模板。 衍生指标：可以查看或编辑衍生指标的SQL模板。 复合指标：可以查看或编辑复合指标的SQL模板。 汇总表：可以查看或编辑汇总表的SQL模板。 “参考数据”区域：显示了一个表详情的示例，示例中的变量定义了表的详细信息。 “模板代码编辑”区域：可以编辑DDL模板。如果您需要将所选类型的表，生成其他类型的数据库的DDL语句，您可以根据目标数据源的DDL语法，修改DDL模板。 “预览结果”区域：编辑DDL模板后，可以预览按模板生成的DDL语句。 图10 DDL模板管理

模型配置 当您在主题设计、模型设计等过程中，如果需要进行如下操作，您可以通过本页面进行配置： 增加主题别名、表模型别名、字段别名。 设置维度（维度表）、事实表、汇总表的默认表编码前缀。 增加表的自定义字段。 增加属性的自定义字段。 图7 模型配置 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“模型配置”页签。 启用别名。在“模型配置”页面，您可以增加别名。 选项说明如下： 主题设计：选择之后，在新建、编辑主题时，必须输入别名。 表模型：选择之后，在新建、编辑表时，必须输入别名。会影响业务表、维度（维度表）、事实表和汇总表等。 字段：选择之后，在新建、编辑表字段时，必须输入别名。 表名管理。设置维度（维度表）、事实表和汇总表的默认表编码前缀。 表自定义项。在新建、编辑表时，可以在表的基本设置中设置自定义的字段。会影响业务表、维度（维度表）、事实表和汇总表等。 属性自定义项。在新建、编辑表字段时，可以在表字段中设置自定义的属性。会影响业务表、维度（维度表）、事实表和汇总表等。

主题流程配置 主题流程配置用于自定义主题设计中的主题层级和自定义属性。系统默认有三个层级，从上到下分别命名为主题域分组（L1）、主题域（L2）、业务对象（L3）。您可以自定义的主题层级限制在最大7层，最少2层。自定义属性最多可以配置10个。 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 图1 选择数据架构 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“主题流程配置”页签。 在主题层级区域，可对主题层级进行增加、删除和编辑操作。 在“操作”栏中单击按钮可以添加自定义主题层级项，完成后单击“确定”。 在“操作”栏中单击按钮可以删除主题层级项，完成后单击“确定”。 除最后一层业务对象外，其它层级均可以通过单击对应的层级名称实现“编辑”操作。 在主题自定义项区域，可对属性进行增加、删除和编辑操作。 在“属性自定义项”右侧，单击“新建”可新增一条自定义属性。 在“操作”栏中单击按钮可以删除一条自定义属性。 单击对应的属性名称、属性名称（英文）、可选值，是否必填，实现“编辑”操作。 在流程层级数区域，可设置流程设计的层数，层级最小3级，最大7级。

标准模板管理 标准模板管理用于自定义数据标准的默认选项。首次进入数据架构的数据标准页面，也会显示制定数据标准模板的页面。 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 图2 选择数据架构 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“标准模板管理”。 如下图所示，在“可选项”中勾选所需要的选项，单击“新建”按钮可以添加自定义项，完成后单击“确定”。 标准模板支持“是否可搜索”、“是否必填”、“可选值”。 保存模板后，在新建数据标准时需要设置此处模板中选中选项的参数值。 首次进入数据架构的数据标准页面，可选项默认选取“数据长度”和“描述”，其他选项请按需求勾选。 图3 标准模板管理

功能配置 功能配置用于自定义数据架构中的各项功能。 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据架构”模块，进入数据架构页面。 图4 选择数据架构 在数据架构控制台，单击左侧导航树中的“配置中心”，进入相应页面后再单击“功能配置”。 在功能配置页面，可根据用户具体的功能需求配置参数，然后单击“确定”。如果单击“重置”可恢复默认设置。 图5 功能配置 模型设计业务流程步骤：此处勾选的流程，在关系建模或维度建模的对象发布上线时，系统会依次自动执行。一般建议全部勾选。 创建表：当数据架构中的表发布并通过审核后，系统将自动在对应的数据源中创建相应的物理表。在表删除时，系统也会自动删除物理表。 同步技术资产：关系建模或维度建模中的表发布后，同步表到数据目录模块作为技术资产，同时同步标签到对应技术资产。 若开启“同步技术资产”功能，您必须预先在DataArts Studio数据目录模块中对表所属的数据库创建数据目录采集任务并采集成功，否则同步技术资产将会执行失败。 同步业务资产：同步逻辑模型到数据目录，作为业务资产，同时同步标签到对应业务资产。 资产关联：实现业务资产与技术资产的关联。业务资产与技术资产同步完成后，在数据目录模块中查看对应的业务资产或技术资产详情时，可以看到相关联的技术资产或业务资产。该功能要求表信息中含有数据源信息。 创建质量作业：当关系建模或维度建模中的表发布并通过审核后，对于关联数据标准（包含数据长度或允许值）或关联质量规则的表，系统将自动在DataArts Studio数据质量模块中创建一个质量作业。 创建数据开发作业：汇总表发布后，自动生成端到端的全流程数据开发作业。 发布数据服务API：汇总表发布后，自动生成数据服务API，此功能仅当数据服务支持汇总表的数据连接时生效。 数据落库：码表维度发布后，会自动将码表的数值填入维度表中。 模型下线流程：选择当模型下线时，是否同步删除技术资产、业务资产、质量作业、数据开发作业。 数据表更新方式：当数据架构中的表在发布后进行了修改，是否同时更新数据库中的表。默认为“不更新”，但在配置中心可以依据自己的需求设置更新动作。依据DDL模板, 在模板里面配置对应的更新语句即可。 不更新：不更新数据库中的表。 依据DDL更新模板：依据DDL模板管理中配置的DDL更新模板，更新数据库中的表，但能否更新成功是由底层数仓引擎的支持情况决定的。由于不同类型的数仓支持的更新表的能力不同，在数据架构中所做的表更新操作，如果数仓不支持，则无法确保数据库中的表和数据架构中的表是一致的。例如，DLI类型的表更新操作不支持删除表字段，如果在数据架构的表中删除了表字段，则无法在数据库中相应的删除表字段。 如果线下数据库支持更新表结构语法，可以在DDL模板配置对应语法, 之后更新操作就可以通过DataArts Studio管控；如果线下数据库不支持更新, 那只有通过重建这种方式更新。 重建数据表：先删除数据库中已有的表，再重新创建表。选择该选项可以确保数据库中的表和数据架构中的表是一致的，但是由于会先删除表，因此一般建议只在开发设计阶段或测试阶段使用该选项，产品上线后不推荐使用该选项。 数据表不区分大小写：对于选中的连接类型，在发布相应类型的表时，同步技术资产时名称将不区分大小写，找到相同的即认为已存在。 物理表同步业务资产：在开启了“同步业务资产”且没有创建逻辑实体的前提下，为了避免物理表发布会覆盖同名逻辑表的情况发生，可主动关闭该选项，物理表发布后不会同步业务资产，只会进行资产关联。数据资产关联前会进行业务资产查找，如没有查找到相应的业务资产则会报错并结束资产关联。 业务表映射使用新版本：系统默认为新版本映射。新版本映射功能支持join等操作，推荐使用新版本映射。 汇总表自动汇聚：发布衍生指标或复合指标时，系统支持自动生成汇总表，一个统计维度对应一个汇总表。自动生成的汇总表可在汇总表页面下选择“自动汇聚”页签查看。 数据标准是否重名：默认关闭，打开后数据标准可以重名。 是否启用公共层：开关打开后，可将当前空间转化为公共层空间。公共层空间的码表和数据标准会共享给所有普通空间；普通空间可以查询、引用公共层空间的码表和数据标准，但无法进行新增、修改和删除的操作。 当前空间转换为公共层空间后，不支持回退为普通空间，其他普通空间也不能再转换为公共层空间。请谨慎选择您的公共层空间。 公共层空间无法反向查询、引用或操作普通空间的数据。 时间限定生成使用动态表达式：开关打开后，则使用动态时间表达式；如开关关闭，则默认使用原有的静态时间表达式。例如时间限定设置为最近30天：如果使用静态表达式，如果当前为9月，生成的最近30天的数据就是8月，即使当前到了10月，生成的数据还是8月，不能自动更新；如果使用动态表达式，当前到了10月，最近30天自动更新为9月。动态表达式时间函数举例如下所示： 图6 动态表达式 如果第一次打开开关，需重置DDL模板中的衍生指标。如之前有修改过DDL模板，请先做好模板备份。重置模板会将原来修改过的模板覆盖，重置后需要将原来修改的内容重新编辑一次。 信息架构页面表查询时，主题支持并列查询个数：默认为1个，暂不支持设置。 码表数据落库并行行数：码表维度发布后，设置将码表的数值填入维度表中时的并行操作行数。当码表数值较多时，会导致落库失败，可以适当调小该参数。 码表生成质量规则：下拉选择即可。当码表的数据量较小时，选择“枚举值校验”即可；否则选择“字段一致性校验”。 选择“字段一致性校验”的前提是码表在数据库中存在，通过以下方式生成的码表会在数据库中存在： 逆向数据库生成的码表。 新建维度时，通过码表维度发布的码表。 汇总表引用维度字段命名规则：设置汇总表在新建、编辑、导入和生成时的命名规则，可选“维度表名_维度属性名”和“维度属性名”。 生成数据服务API：包含“按汇总表整表生成单个API”和“按汇总表指标生成数个API”两种生成数据服务API的方式。