华为云用户手册

查看数据访问日志 在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“数据访问审计”，进入审计日志页面。 图1 数据访问审计 您可以通过切换页签，查看不同数据源的审计日志。日志范围默认1小时，支持自定义时段查询，自定义时段时的最大查询时间间隔为一个月。 DWS审计日志：日志列表默认使用最新DWS数据连接。单击查看日志详情，可查看当前日志的全量信息。 DWS审计日志支持导出，单击“导出”后，会下载当前页的json数据。 图2 DWS审计日志列表 MRS Hive审计日志：MRS Hive日志列表默认不展示日志内容，而是支持根据配置条件进行检索，检索结果按照页签呈现，支持展示最多5个检索结果页签。 图3 MRS Hive审计日志列表 DLI 审计日志：DLI日志列表默认展示日志信息。单击日志名查看日志详情，可查看当前日志的全量信息。 图4 DLI审计日志列表

前提条件 为实现MRS Hive数据源的数据访问审计，需要满足如下条件： MRS Hive数据连接中选择Agent代理的 CDM 集群为2.10.0.300及以上版本。 MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。 为实现DWS数据源的数据访问审计，需要满足如下条件： 已开启DWS集群的审计功能开关audit_enabled。 审计功能开关默认开启，如果已关闭则请参考修改数据库参数章节将audit_enabled设置为ON。 已开启需要审计的审计项。 DWS各类审计项及其开启方法，请参考设置数据库审计日志章节。 对于DWS数据源，未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录。因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前 IAM 用户身份查看审计记录）。

新建下载权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“DataArts资源权限”，在DataArts资源权限页面单击“下载权限”，进入下载权限页签。 图1 进入下载权限页签 单击下载权限页签的“新建” ，在弹出的策略配置页参考表1配置相关参数，配置完成单击“提交”，策略配置完成。 表1 配置下载权限策略参数说明 参数名 参数描述 *策略名称 标识下载权限策略，为便于策略管理，建议名称中包含授权对象。 策略名须以英文或中文开头，仅支持中英文、数字和下划线，最多64个字符。 策略描述 为更好地识别策略，此处加以描述信息。 *授权内容 授权对象默认为数据开发组件，需选择需要授权的操作，并支持配置单次转储记录值上限。 说明： 数据开发组件中不同数据源的SQL脚本转储支持的单次最大记录值不同，详见下载或转储脚本执行结果。此处配置的记录值上限可参考此规格进行配置。 *授权对象 选择需要授权的用户。 指定用户：可以配置为指定的用户以及用户组。 说明： 每个用户或用户组只能有一条下载权限策略，但与全部成员的策略不冲突。 全部成员（包含新增成员）：为全体成员配置操作策略。 图2 新建下载权限策略 （可选）在策略列表中，单击默认下载权限策略操作栏中的“删除”，删除默认策略。 为实现仅新建策略中的授权对象具备相关操作权限、非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator或数据安全管理员）不具备转储以及在下载中心下载操作权限，您需要删除默认下载权限策略，否则所有用户依然具有转储以及在下载中心下载操作权限。

约束与限制 仅DAYU Administrator、Tenant Administrator或数据安全管理员有权限新建、编辑或删除下载权限策略。 通过下载权限策略为用户授权，前提是用户本身的具备相关操作权限并且数据开发中的“数据导出策略”配置项已授权，否则用户依然无法进行相关操作。 配置下载权限策略后，将导致非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator或数据安全管理员）无法再进行转储以及在下载中心下载操作，请您谨慎操作。 下载权限策略不支持直接对SQL脚本执行结果直接下载的操作进行管控，仅支持对转储以及在下载中心下载操作进行管控，并支持配置单次转储记录值上限。 每个用户或用户组只能有一条下载权限策略，但与全部成员的策略不冲突。

前提条件 仅DAYU Administrator、Tenant Administrator或数据安全管理员有权限新建、编辑或删除下载权限策略。 在配置下载权限策略前，应确保授权对象已具备在数据开发组件中SQL脚本执行结果的转储以及在下载中心下载操作权限（即已被授予DataArts Studio权限并被添加为对应工作空间角色，详见授权用户使用DataArts Studio），且已在数据开发中通过配置“数据导出策略”默认项允许授权对象进行数据导出（详见配置默认项）。否则，即使已在下载权限策略中为用户授权了转储以及在下载中心下载权限，用户依然无法进行相关操作。

新建目录权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“DataArts资源权限”，进入目录权限页面。 图1 进入目录权限页面 单击目录权限页面的“新建” ，在弹出的策略配置页参考表1配置相关参数，配置完成单击“提交”，策略配置完成。 表1 配置目录权限策略参数说明 参数名 参数描述 *策略名称 标识目录权限策略，为便于策略管理，建议名称中包含资源对象和授权对象。 授权内容 数据开发（DLF） 选择需要授权的数据开发脚本和作业的一级目录。 说明： 即使仅选择脚本目录或仅选择作业目录，策略配置后，对于非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）而言，数据开发中的所有脚本和作业目录将由于无权限而置灰。 如果仅选择了数据开发的脚本或作业目录，则数据服务的目录权限不受此策略影响。 数据服务（DLM） 选择需要授权的数据服务API的一级目录。 说明： 如果仅选择了数据服务的API目录，则数据开发的目录权限不受此策略影响。 数据架构（DS） 选择需要授权的数据架构的物理模型或逻辑模型。 说明： 即使仅选择物理模型或仅选择逻辑模型，策略配置后，对于非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）而言，数据架构中的所有物理模型和逻辑模型将由于无权限而置灰。 如果仅选择了数据架构的物理模型或逻辑模型目录，则数据开发或数据服务的目录权限不受此策略影响。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图2 新建目录权限策略

约束与限制 一旦在当前工作空间内配置了数据开发、数据服务或数据架构的目录权限策略，将导致非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）无法再查看并操作数据开发、数据服务的目录及其中的资源，请您谨慎操作。 仅DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户有权限新建、编辑或删除目录权限策略。 目录权限策略中可以配置多个目录，但同一用户、用户组或角色仅能出现在一条策略中。 数据服务仅专享版目录支持权限管控。

相关操作 编辑策略：在hetu权限同步页面，单击对应任务操作栏中的“编辑”，即可编辑hetu权限同步策略。 删除策略：在hetu权限同步页面，单击对应任务操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在列表上方单击“删除”。 删除操作无法撤销，请谨慎操作。 查看策略详情：在hetu权限同步页面，找到需要查看的策略，单击对应任务操作栏中的“详情”，即可查看策略详情。 图3 查看策略详情

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除hetu权限同步策略，其他普通用户无权限操作。 当前仅支持Hive权限同步至同一MRS集群的Hetu。 Hetu权限同步策略需要配置Hive和Hetu catalog的对应关系。对于一个Hive源对接多个Hetu catalog场景，需要配置多个同步策略。 Hetu权限同步策略创建后，不会自动将已有Hive权限同步至Hetu。仅当Hive权限同步触发后，才会同步权限至Hetu端，另外也会因此导致权限同步所需时间变长。 当Hive权限同步触发后，如果同步权限至Hetu端发生失败，Hive权限同步不受影响。 Hetu权限同步策略删除后，不会回收已同步至Hetu的权限。 同步到Hetu端的Ranger的策略命名格式为“catalog名_schema名+表名+列名”。如果Hetu端的Ranger上已有相同资源、名称的策略，则会导致同步权限至Hetu端的失败，此时需要手动清理Hetu端的Ranger上资源、名称冲突的策略。

创建hetu权限同步策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“hetu权限同步”，进入hetu权限同步页面。 图1 进入hetu权限同步页面 单击“新建”，进入新建hetu权限同步策略页面，参数配置参考表1。 图2 新建hetu权限同步策略参数配置 创建hetu权限同步策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *策略名称 hetu权限同步策略的标识，同一个数据表上不能有同名的hetu权限同步策略。 为便于策略管理，建议名称中标明要同步的集群名和Catalog名。 策略描述 为更好地识别hetu权限同步策略，此处加以描述信息，长度不能超过255个字符。 权限源端 *数据源类型 当前仅支持MRS Hive数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 权限目标端 *数据源类型 当前仅支持MRS Hetu数据源。 *数据连接 从下拉列表中选择数据连接类型中已创建的数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 注意，所选择的Hetu连接所在的集群应与Hive连接所在的集群一致。 集群名称 无需选择，自动匹配数据连接中的数据源集群。 *Catalog Hetu上的数据源名称，本集群的Hive数据源名称默认为“hive”。由于Hetu支持多个Catalog对接同一个Hive，因此您也可以选择其他本集群的Catalog。 单击“提交”，完成hetu权限同步策略创建。 当Hive权限同步触发后，会同步权限至Hetu端Ranger，策略命名格式为“catalog名_schema名+表名+列名”。系统定义的Hive与Hetu间的策略映射关系如表2所示。 表2 Hive与Hetu的策略映射关系 Hive Hetu 资源映射关系 hive数据源 Hetu Catalog hive数据库 Hetu Schema hive表 Hetu表 hive列 Hetu列 权限映射关系 select select、use update insert、delete、update create create drop drop alter alter all all

相关操作 同步策略：在行级访问控制页面，单击对应任务操作栏中的“同步”，即可将该策略同步到数据源中。当需要批量同步时，可以在勾选策略后，在列表上方单击“同步”。 只有处于“同步成功”状态的策略才能生效。如果策略同步失败，可通过查看策略详情查看策略运行日志，通过日志排查同步失败原因。待问题修复后请重新同步，如果仍同步失败，请联系技术支持人员协助处理。 编辑策略：在行级访问控制页面，单击对应任务操作栏中的“编辑”，即可编辑行级访问控制策略。 删除策略：在行级访问控制页面，单击对应任务操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在列表上方单击“删除”。 删除操作无法撤销，请谨慎操作。 查看策略详情：在行级访问控制页面，找到需要查看的策略，单击策略名即可查看策略详情。 图3 查看策略详情

前提条件 新建DWS行级访问控制策略前，已在管理中心创建 数据仓库 服务（DWS）类型的数据连接，请参考创建DataArts Studio数据连接。DWS数据连接中的账户要具备待控制表的GRANT权限（数据库对象创建后，默认只有对象所有者或者系统管理员可以通过GRANT命令将对象的权限授予其他用户）。 行级访问控制为指定用户/用户组在数据源上关联策略，因此需要先将IAM上的用户信息同步到数据源上，详见同步IAM用户到数据源。 如果希望在DataArts Studio数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权以实现行级访问控制策略生效，则需要启用细粒度认证。 为确保行级访问控制策略生效，须确保策略中指定的用户已具备待控制操作的表权限，同时需要将表所属模式的USAGE权限授予该用户。可通过如下命令为指定的user1，user2，user3授权。 GRANT USAGE ON SCHEMA schema_name TO user1,user2,user3; GRANT SELECT,UPDATE,DELETE ON TABLE table_name TO user1,user2,user3;

约束与限制 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除行级访问控制策略，其他普通用户无权限操作。 当前行级访问控制策略仅支持DWS数据源，且不支持DWS逻辑集群。DWS数据连接中的账户要具备待控制表的GRANT权限（数据库对象创建后，默认只有对象所有者或者系统管理员可以通过GRANT命令将对象的权限授予其他用户）。 行级访问控制为指定用户/用户组在数据源上关联策略，因此需要先将IAM上的用户信息同步到数据源上，详见同步IAM用户到数据源。 当前行级访问控制支持影响数据表的读取操作（SELECT、UPDATE、DELETE、ALL，ALL表示会影响SELECT、UPDATE、DELETE三种操作），暂不支持影响数据表的写入操作（INSERT、MERGE INTO）。 行级访问控制策略名称是针对表的，同一个数据表上不能有同名的行访问控制策略；对不同的数据表，可以有同名的行访问控制策略。 支持对行存表、行存分区表、列存表、列存分区表、复制表、unlogged表、hash表定义行级访问控制策略，不支持HDFS表、外表、临时表定义行级访问控制策略。 不支持对视图定义行级访问控制策略。 同一张表上可以创建多个行级访问控制策略，一张表最多创建100个行访级问控制策略。 具有DWS管理员权限的用户和初始运维用户(Ruby)不受行访问控制影响，可以查看表的全量数据。 通过SQL语句、视图、函数、存储过程查询包含行级访问控制策略的表，都会受影响。 同步行访级问控制策略后，不支持对行访问控制策略依赖的列进行类型修改。

创建行级访问控制策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“行级访问控制”，进入行级访问控制页面。 图1 进入行级访问控制页面 单击“新建”，进入新建行级访问控制策略页面，参数配置参考表1。 图2 新建行级访问控制策略参数配置 创建行级访问控制策略参数配置说明： 表1 配置策略参数 参数名 参数说明 *策略名称 行级访问控制策略的标识，同一个数据表上不能有同名的行访问控制策略。 为便于策略管理，建议名称中标明要控制的对象和内容规则。 *数据源类型 当前仅支持DWS数据源。 *工作空间 从下拉列表中选择数据连接所在工作空间，支持跨空间选择数据连接。注意，行级访问控制策略与工作空间之间无关联关系，工作空间仅用于关联数据连接。 *数据连接 从下拉列表中选择所选工作空间中已创建的DWS数据连接，若未创建请参考创建DataArts Studio数据连接新建连接。 *集群名称 无需选择，自动匹配数据连接中的数据源集群。 *数据库 选择行数据所在的数据库。 *数据表 选择行数据所在的数据表。选择后系统自动展示所选的表结构。 *SQL操作 选择需要控制的操作（SELECT、UPDATE、DELETE、ALL，ALL表示会影响SELECT、UPDATE、DELETE三种操作），暂不支持控制写入操作（INSERT、MERGE INTO）。 当选择SELECT时，SELECT类操作受行访问控制的影响，所选用户组/用户只能查看到满足表达式条件的行数据，受影响的操作包括SELECT，UPDATE ... RETURNING，DELETE ... RETURNING。 当选择UPDATE时，UPDATE类操作受行访问控制的影响，所选用户组/用户只能更新满足表达式条件的行数据，受影响的操作包括UPDATE，UPDATE ... RETURNING，SELECT ... FOR UPDATE/SHARE。 当选择DELETE时，DELETE类操作受行访问控制的影响，所选用户组/用户只能删除满足表达式条件的行数据，受影响的操作包括DELETE，DELETE ... RETURNING。 *用户组/用户 指定当前工作空间成员中的用户或用户组。 指定的用户或用户组按照所选的“SQL操作”进行操作时，只能操作满足“表达式”条件的行级数据。 当选择SELECT时，SELECT类操作受行访问控制的影响，所选用户组/用户只能查看到满足表达式条件的行数据，受影响的操作包括SELECT，UPDATE ... RETURNING，DELETE ... RETURNING。 当选择UPDATE时，UPDATE类操作受行访问控制的影响，所选用户组/用户只能更新满足表达式条件的行数据，受影响的操作包括UPDATE，UPDATE ... RETURNING，SELECT ... FOR UPDATE/SHARE。 当选择DELETE时，DELETE类操作受行访问控制的影响，所选用户组/用户只能删除满足表达式条件的行数据，受影响的操作包括DELETE，DELETE ... RETURNING。 *表达式 填写行数据的表达式。只有满足表达式的行数据，才允许被指定用户按照所选的“SQL操作”进行操作。格式如下： `目标字段`="操作值" 建议表达式目标字段以反引号包裹，操作值以双引号包裹，需要匹配多个行数据时，可以用AND拼接，例如： `role`="test" AND `department`="sales" 单击“提交”，完成行级访问控制策略创建。行级访问控制策略创建完成后，需要手动单击“同步”，将该策略同步到数据源中。

相关操作 删除队列资源：在队列权限目录页面，先单击选择需要删除的队列资源，然后单击目录上方的，即可删除队列资源。 删除队列资源，不会将此队列资源从MRS/DLI中直接删除，而是不再将当前指定的队列资源分配给此工作空间。 直接删除队列资源后，队列中的授权配置依然存在，权限继续生效。需要通过删除策略或回收权限，才能删除相应队列权限。 数据安全无法删除当前正在数据开发中被使用的Yarn队列资源。 编辑策略：在MRS Yarn队列详情页面，单击对应策略操作栏中的“编辑”，即可编辑策略。 删除策略：在MRS Yarn队列详情页面，单击对应策略操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选策略后，在策略列表上方单击“批量删除”。 删除操作无法撤销，请谨慎操作。 修改权限：在DLI队列详情页面，单击对应授权项操作栏中的“修改权限”，即可修改对该用户所授予的权限。 回收权限：在DLI队列详情页面，单击对应授权项操作栏中的“回收权限”，即可删除对该用户所授予的权限。

前提条件 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限给当前空间分配可用的队列资源、配置MRS队列属性（离线/实时）以及为指定的队列配置用户权限策略，另外工作空间管理员用户也可以为用户组/用户配置队列权限策略。 配置队列权限前，已在管理中心创建 数据湖探索 （DLI）和 MapReduce服务 （MRS Ranger）类型的数据连接，请参考创建DataArts Studio数据连接。 配置MRS Yarn队列权限前，需要参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。 MRS Yarn队列权限的策略生效，需要配置YARN严格权限控制，即设置参数“yarn.acl.enable”为true，具体请参见参考：配置Yarn严格权限控制。

约束与限制 当前分配队列资源只支持MRS Yarn队列。队列权限管控只支持MRS Yarn和DLI队列，且由于DLI限制暂不支持为DLI default队列授权。 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时，才支持MRS Yarn队列权限管控。 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限给当前空间分配可用的队列资源、配置MRS队列属性（离线/实时）以及为指定的队列配置用户权限策略，另外工作空间管理员用户也可以为用户组/用户配置队列权限策略。 当前工作空间分配的队列资源和配置的队列权限并无绑定关系，队列权限策略实际上落在数据源配置中。因此，当删除当前工作空间的队列资源后，已配置的队列权限策略依然生效；重新添加队列资源后，权限依然可见。 已配置的队列权限策略借由数据源的权限管控能力实现，因此也可以在数据源（如MRS Ranger策略和DLI队列管理）处查看已配置的策略。如果在数据源处删掉队列策略，则在数据安全组件处不会自动删除，需要您手动在数据安全组件处清理该策略。 仅MRS Yarn队列支持配置队列属性（离线/实时），且同一队列在不同工作空间下支持指定为不同属性。 为DLI队列的授权时，当前由于DLI限制只支持授权给用户，不支持授权给用户组。

新建空间资源权限策略 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“空间资源权限”，进入空间资源权限页面。 图1 进入空间资源权限页面 单击空间资源权限页面的“新建” ，在弹出的策略配置页参考表1配置相关参数，配置完成单击“保存”，策略配置完成。 表1 配置空间资源权限策略参数说明 参数名 参数描述 *策略名称 标识空间资源权限策略，为便于策略管理，建议名称中包含资源对象和授权对象。 资源对象 数据连接 选择需要授权的管理中心组件数据连接。如需新建数据连接，请参考创建DataArts Studio数据连接。 说明： 对于未选择的数据连接，则默认该连接权限放开，不做权限管控。 对于选择的数据连接，则非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）将无权再查看并使用该连接。并且当查看或修改已使用该连接的作业时，数据连接及连接相关配置不可见。 委托 选择需要授权的IAM委托，仅限于委托对象为“ 数据湖 治理中心 DGC”的云服务类型委托。如需新建委托，请参考参考：创建委托。 说明： 对于未选择的委托，则默认该委托权限放开，不做权限管控。 对于选择的委托，则非授权对象的普通用户（即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户）将无权再查看并使用该委托。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图2 新建空间资源权限策略

约束与限制 当前仅支持简单模式的工作空间资源管控，不支持企业模式。 如果未对某资源进行赋权，则默认该资源权限放开，不做权限管控。 当前仅数据开发组件支持空间资源权限策略，其他组件不受空间资源权限策略限制。在数据开发组件如下场景中，会根据空间资源权限策略进行鉴权。 脚本开发或者作业开发中，选择连接或作业委托、公共委托。 提交脚本或者作业。 对于历史版本中直接在数据开发组件创建的数据连接，暂不支持进行资源权限管理。 对于已有的空间资源权限策略，当已删除对应资源后，策略不会随之自动删除。

启用细粒度认证 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“权限应用”，进入权限应用页面。 在“权限应用”页面，为希望启用细粒度认证的数据连接，进行联通性测试。联通性测试时，系统会使用当前用户账号访问数据源，以确保当前用户访问正常。 由于DWS数据源不支持以华为账号直接访问，因此如果当前以华为账号登录，则会导致联通性测试失败。因此在DWS联通性测试前，需要先完成用户同步，再将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 图1 联通性测试 如果联通性测试失败，可从以下方面进行排查： 确保数据连接上的数据源可用。 数据连接中的Agent选择的CDM集群应为2.10.0.300及以上版本。 已完成用户同步，用户同步操作请参考同步IAM用户到数据源。 DWS连接： DWS连接中DWS集群guest_agent版本为8.2.1，或在8.2.1以上、9.0.0以下。DWS集群guest_agent版本查看方法请参考查看DWS集群guest agent版本。 已将当前登录账号切换为IAM子用户账号，且具有至少DWS Database Access权限。 MRS Hive连接： MRS Hive连接中的用户是否配置了代理权限，若没配置代理，可参考参考：为MRS数据连接用户配置代理权限。 MRS SPARK连接： MRS SPARK连接中的用户是否配置了代理权限，若没配置代理，可参考参考：为MRS数据连接用户配置代理权限。 MRS SPARK数据连接对应的SPARK2x组件是否为多主实例模式。多主实例模式时才支持细粒度认证，为多租户模式时不支持。多租户模式切换多主实例模式请参考配置多主实例与多租户模式切换章节。 联通性测试成功后，在细粒度认证状态列，根据所需选择启用开发态或调度态的细粒度认证，然后单击下方的“提交”，即可开启细粒度认证。 图2 开启细粒度认证

前提条件 开启细粒度认证前，请确保已经为使用数据源的用户配置了业务所需的数据权限，避免开启后因用户无数据权限导致业务中断。配置权限详见配置权限集或配置角色。 DWS联通性测试前，已完成用户同步，然后将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 已经为MRS Hive连接和MRS SPARK连接中的用户配置了代理权限，请参考参考：为MRS数据连接用户配置代理权限进行配置。 MRS SPARK数据连接对应的SPARK2x组件为多主实例模式，否则请参考配置多主实例与多租户模式切换章节进行切换。

约束与限制 当前开发态细粒度认证仅支持DWS、代理模式的MRS Hive和MRS SPARK类型数据连接，调度态细粒度认证仅支持代理模式的MRS Hive类型数据连接。 仅DAYU Administrator、Tenant Administrator或者数据安全管理员有权限配置细粒度认证状态。 仅当数据连接中的Agent选择的CDM集群为2.10.0.300及以上版本时，才支持细粒度认证。 角色/权限集中配置的用户权限，需要在角色/权限集同步成功并启用细粒度认证后才能生效。 DWS连接联通性测试约束如下： 联通性测试时，系统会使用当前用户账号访问数据源，以确保正常访问。但由于DWS数据源不支持以华为账号直接访问，如果登录账号为华为账号，联通性测试会失败。因此，在DWS联通性测试前，需要先完成用户同步，再将当前登录账号切换为IAM子用户账号，且至少具有DWS Database Access权限。 仅当DWS集群guest_agent版本为8.2.1，或在8.2.1以上、9.0.0以下时，才支持细粒度认证。DWS集群guest_agent版本查看方法请参考查看DWS集群guest agent版本。 MRS Hive连接联通性测试约束如下： 仅当MRS Hive数据连接中的用户配置了代理权限后，才支持细粒度认证。 MRS SPARK连接联通性测试约束如下： 仅当MRS SPARK数据连接中的用户配置了代理权限后，才支持细粒度认证。 仅当MRS SPARK数据连接对应的SPARK2x组件为多主实例模式时才支持细粒度认证，为多租户模式时不支持。多租户模式切换多主实例模式请参考配置多主实例与多租户模式切换章节。

相关操作 编辑审批策略：在审批策略页面，单击对应策略操作栏中的“编辑”，即可修改审批策略各项参数。 编辑审批策略状态：新增的审批策略默认为关闭状态。当审批策略为关闭状态时，表示该策略将不生效。 需要修改审批策略状态时，在审批策略页面单击对应审批策略中的或，即可启用或关闭审批策略。 删除审批策略：在审批策略页面，单击对应策略操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选审批策略后，在列表上方单击“批量删除”。 删除操作无法撤销，请谨慎操作。

配置并订阅权限审批通知 管理员可以配置权限审批通知主题，已订阅通知的审核人将在收到权限审批后接收到通知信息。 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“权限审批”，在“权限审批”页面，单击“权限通知”进入权限通知页签。 在“权限通知”页面，进入“权限审批通知”页签，单击选择 消息通知 服务（ SMN ）中的消息主题作为权限审批通知主题，然后单击确定。 图11 权限通知 系统会根据已选择的通知主题，将SMN主题相关的订阅终端信息展示在下方订阅列表中，列表中的用户名称对应订阅备注信息，订阅者只能操作备注信息与用户名一致的订阅。如果没有当前用户名对应的订阅，可以通过“添加订阅”新增一条订阅信息。 订阅者选择希望接收消息的终端记录，进行请求订阅，订阅状态为“已确认 ”后即为订阅成功。 当审批通知使用数据开发通知主题时，会由于在数据开发侧添加的订阅自带的订阅筛选策略，导致仅请求订阅还是不会收到通知。因此在使用数据开发通知主题的场景下，除了请求订阅外，还需要再进行关联订阅后才能收到权限审批通知。 图12 订阅权限审批通知

回收权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，单击“权限回收”，进入权限回收页签。 图9 权限回收 在权限回收页签中，列表展示指定空间（默认当前空间）下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名，匹配权限记录（支持模糊匹配），然后通过操作栏中的“回收”，删除当前的权限记录。 仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。 在新版本模式下仅当使用企业版时（旧版本模式使用基础版及更高版本时即可支持），此处才支持进行“变更有效期”操作，详见变更有效期。 图10 回收权限

配置审批策略 通过审批策略，您可以设置多级审批流程，或针对不同密级数据的权限申请设置不同的审批流程。 值得注意的是，审批策略为DataArts Studio实例级别配置，各工作空间之间数据互通，全局可见并生效。 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，单击“审批策略”进入审批策略页签。单击“新建”，新建一条审批策略。 图1 创建审批策略 在创建策略页面中，参考表1完成审批策略创建，审批节点可通过单击进行新增。 图2 配置审批策略 表1 审批策略参数说明 配置项 说明 基本信息 *策略名称 配置审批策略名。仅支持中英文、数字和下划线，长度不超过32个字符。 策略描述 为更好地识别审批策略，此处加以描述信息，长度不能超过255个字符。 数据密级范围 如果需要针对不同密级数据的权限申请设置不同的审批流程，此处需要选择数据密级。注意，一个密级下只允许存在一条审批策略，不选密级也只允许存在一条审批策略。 选择数据密级的条件为： 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务，并将密级信息同步到数据地图。 审批节点配置-系统角色/IAM用户/IAM用户组 审批人类型 选择审批人类型。 选择角色 根据不同的审批人类型，选择对应的审批人角色。 审批策略填写完成后，单击提交可新建一条审批策略。新建的审批策略默认为关闭状态，如需生效，请在审批策略列表处，单击进行开启。 图3 审批策略列表

审批权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面，审批人单击“权限审批”进入权限审批页签。 图7 权限审批 在权限审批页签中，工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情。请从业务合理性和数据安全角度审视，确认“通过”或“驳回”该工单，同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。 在权限审批页签中，单击“已审批”，可查看已经审批通过的工单。 图8 已通过工单列表

申请权限 在DataArts Studio控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”，进入权限审批页面。 在“权限审批”页面的权限申请页签，单击“创建权限申请”，创建权限申请工单。 图4 创建权限申请 在权限申请工单页面中，参考表2完成工单填写。 图5 填写工单 表2 权限申请工单参数说明 配置项 说明 基本信息 *工作空间 选择已配置空间权限集的工作空间。 *空间权限集 选择空间权限集，空间权限集权限范围应已包含所需资源权限。 *数据源类型 当前支持Hive、DWS、DLI。 *集群名称 选择要申请的资源所在的集群。 *数据连接 选择要申请的资源所在的数据连接。 资源选择 *待添加资源 在导航树上选择数据库后，勾选所需的数据表，单次申请时支持选择不同数据库下的表。 说明： 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置所选数据表中所有列的SELECT权限。 在新版本模式下仅当使用企业版时，才支持按字段粒度申请权限，以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。 另外，导航树上的快速模式开启后，库表列的元数据会从数据目录获取，否则会从数据源获取元数据。推荐开启快速模式。 *已选择资源 在已选择资源列表中可查看所选的表、权限和审批人信息。 说明： 审批人默认来自权限集/角色的管理员。例如，如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限，审批人可以选择为权限集A或角色B管理员；如果只有空间权限集定义了所选数据表中所有列的SELECT权限，审批人为空间权限集的管理员。 申请信息 为自己 勾选为自己后，可为自己申请所选择的资源权限。 空间账号 当在数据开发组件配置调度的公共IAM账号后，可为空间账号申请所选择的资源权限。 为他人 可选择工作空间内的成员，为其申请所选择的资源权限。 *申请原因 填写申请原因，便于审批人审视是否应当审批。 有效期 选择权限有效期支持选择为固定时长（从申请之日开始计算），也可以自定义配置到期时间。不配置表示权限不存在超时时间。 说明： 在新版本模式下仅当使用企业版时，才支持管理权限有效期。旧版本模式使用基础版及更高版本时即可支持。 工单填写完成后，单击提交可生成一条待审批的工单记录。在工单列表处，可以查看工单ID、摘要、状态等信息，单击ID名查看工单详情，并支持撤回未审批的工单。 图6 工单列表

约束与限制 配置审批策略的相关约束与限制如下： 一个密级下只允许存在一条审批策略，不选密级也只允许存在一条审批策略。 创建基于密级的审批策略时，需要满足以下条件： 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务，并将密级信息同步到数据地图。 权限申请和权限审批的相关约束与限制如下： 当前仅支持按照数据表粒度，申请数据表的查询数据（SELECT）权限。因此权限申请前，请确保空间权限集已配置待申请数据表中所有列的SELECT权限。 在新版本模式下仅当使用企业版时，才支持按字段粒度申请权限，以及设置权限有效期。旧版本模式使用基础版及更高版本时即可支持。 单次申请多个数据表的权限，会拆成多个工单进行审批。 DLI权限申请只支持为用户申请，不支持用户组。 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。 当前仅支持查看当前用户的权限申请与审批记录，不支持权限审计。 配置并订阅权限审批通知的相关约束与限制如下： 仅DAYU Administrator、Tenant Administrator、数据安全管理员可以配置权限审批通知、操作所有订阅通知。非管理员用户只能操作自己的订阅信息，无法查看和操作其他用户订阅通知信息。 配置权限审批通知需要为dlg_agency委托配置SMN服务操作权限（SMN FullAccess）。 当审批通知使用数据开发通知主题时，会由于在数据开发侧添加的订阅自带的订阅筛选策略，导致仅请求订阅还是不会收到通知。因此在使用数据开发通知主题的场景下，除了请求订阅外，还需要再进行关联订阅后才能收到权限审批通知。 订阅列表中的订阅通过备注与用户关联，备注为用户名的订阅，视作相应用户的订阅。 订阅列表与主题绑定，切换主题后，需重新配置订阅通知。 已配置的终端信息不支持编辑，如果手机号、邮箱等终端发生变化，需删除后重新添加并请求订阅。 SMN针对特定的手机号码或邮箱地址，可以发送的消息总量为10分钟内最多100条。 权限审批通知内容为通知发送时间点的待审批工单数。在通知冷静期内，即使收到新的待审批工单也不会再次通知，直到在冷静期外收到待审批工单，才会再次计数并发送通知。 受限于并发控制以及SMN性能等因素，消息通知可能会有数分钟的通知时延。 申请权限生效的相关约束与限制如下： 进行权限同步时，需要为dlg_agency委托配置相关权限，请参考授权dlg_agency委托。 当前数据权限管控为白名单机制，是在待授权用户原有权限的基础上增加允许操作条件，不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效，则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时，数据源（此处指MRS/DWS数据源）会使用数据连接上的账号进行认证鉴权。因此在数据开发时，权限管控依然无法生效。需要您启用细粒度认证，使得在数据开发执行脚本、测试运行作业时，使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集中的权限管控生效。

相关操作 同步权限：在角色管理中，配置数据权限后需要同步权限到数据源中权限管控才能生效。 您可以在角色详情页面，单击基本信息区域右上角的“权限同步”进行同步。当需要批量同步时，可以在角色管理导航树上勾选角色后，在导航树上方单击进行权限同步。 同步角色：在通用角色管理（纳管角色无需同步角色）中，权限集配置角色后需要同步到数据源中权限管控才能生效。 您可以在角色详情页面，单击基本信息区域右上角的“角色信息同步”，或数据源角色配置页签中列表操作栏的“同步”，进行角色信息同步。当需要批量同步时，可以在角色管理导航树上勾选角色后，在导航树上方单击进行角色信息同步。 角色信息同步成功后，MRS数据源角色命名格式为“角色名_时间戳”，DWS据源角色命名格式为“dataarts_studio_role_角色名”。 同步角色到MRS集群的场景下，系统提示角色信息同步成功后，还需要等待约5分钟，直到Ranger组件自动触发并完成同步MRS集群角色后，权限管控才能生效。Ranger组件是否同步完成，可通过数据源角色配置页签中列表中的“数据源角色名称”确认： 未完成同步的角色，数据源角色名称为：角色名_10位时间戳 已完成同步的角色，数据源角色名称为：角色名_13位时间戳 删除角色：在角色管理导航树上勾选角色后，在导航树上方单击，在弹窗中再次确认后，即可删除权限集。 注意，通用角色中已配置角色、权限、用户或有子权限集时不可删除，如需删除应先清理相关配置。纳管角色中已配置权限时不可删除，如需删除应先清理相关配置。 通用角色删除后将被转移至回收站中，您可以在30天内进行还原，在回收站中超过30天的数据将被自动删除。详见管理回收站章节。