权限设置

作为库、表、行、列资源的权限负责人，您可以通过权限设置功能配置各资源的相关权限，包括权限负责人、保密级别、申请限制、续期配置等。同时，您还可以设置他人申请该资源权限时所采用的审批流。

1 配置申请权限

1.1 数据库配置

设置数据库权限的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据库，进入数据库页面。

   

3. 可执行以下操作：

   • 搜索数据库

     通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息，查询符合条件的数据库资源。当设置多个搜索条件时，会取各个条件的交集，进行查询。

   • 配置单个数据库

     1. 单击某条数据库信息操作列的设置按钮，进入该数据库的权限设置页面。

        

     2. 可以修改相关的权限参数。

        参数	说明
        基础设置
        *权限负责人	数据库的权限负责人，支持设置为个人或角色组。 个人：下拉可选，支持选择多个。可以删除当前负责人，或者通过输入租户账号关键字，在下拉列表中选择增加新的负责人。 当添加或者删除至少一个权限负责人后，会显示增减应用在下级？ 参数项，你可选择是否同时修改下级资源。 是，同时修改下级资源：即将在下级资源所有权限负责人设置中增加或删除该人。例如在表级别删除了权限负责人A，则将在该表的行列（如有）层级、新增行枚举默认负责人均移除A。 否，仅应用在本级：权限负责人相关变更仅应用在当前资源。 角色组：下拉可选已创建的角色组。角色组创建相关说明请参见审批设置。 说明 权限负责人变更后会同步更新在途工单审批人。
        保密级别	数据库的安全保密级别，由低到高依次有L1、L2、L3 和 L4 四个选项，下拉可选。 说明 密级变更时，审批流程将跟随变更为对应密级的审批流，如有特殊需要可前往设置审批流处配置。
        权限负责人	数据库的权限负责人，下拉可选，支持选择多个。 可以删除当前负责人，或者通过输入租户账号关键字，在下拉列表中选择增加新的负责人。
        续期配置	可设置是否允许续期。 允许：允许获权方续期。 续期时，只填写续期原因，无需审批即可直接获取权限。续期的相关操作请参见管理我的权限。 禁止：禁止获权方续期。选择该选项时，需填写不允许原因。
        申请配置	选择是否开放数据库访问权限的申请，支持进行细粒度配置，包括只读、读写、建表。 当选择禁止时，需填写禁止申请的原因；当选择允许时，可设置禁止申请的类型，包括多人、单人、用户组三个选项，支持多选。
        申请问答	可选择是否开启对资源设置申请问答，默认关闭。开启后，申请者在提交申请前需回答自定义问题。 应用范围：支持仅本级和本级及下级资源两个选项。 题目设置：添加题目并自定义问题，可添加多个题目。 *题目：题目类型，支持问答、单选、多选三个选项。 *问题：自定义要回答的问题，长度不超过512个字符。 *选项：单选或多选问题的选项，每个问题至少设置两个选项。 说明 如果在库/表级别选择本级及下级资源，则申请库/表下的资源时需回答自定义问题，申请多条该库/表下资源时仅需填写一次。
        新增表默认设置（设置完成后将对库下新增表生效）
        默认保密级别	该库下新增表的保密级别，下拉可选。 说明 表的密级不能高于所在库的密级。
        默认权限负责人	该库下新增表的权限负责人。输入租户账号关键字后，下拉可选，支持设置多个。
        续期配置	可设置该库下新增表的访问权限是否允许续期。
        申请配置	可选择对该库下新增表进行权限申请配置。

     3. 单击保存按钮，完成设置。

   • 批量修改权限负责人

     1. 勾选一个或多个选项后，单击修改权限负责人按钮，弹出修改权限负责人窗口。
        

     2. 根据需要，设置权限负责人信息后，单击确定按钮，完成批量修改。

        参数	说明
        更改方式	可选择以下任一更改方式，并从下拉列表中选择权限负责人。 覆盖为：表示用所选人员替换现有权限负责人。 添加到现有：表示将所选人员增加到现有负责人中。 查找并删除：表示若所选人员是现有负责人，则将其删除。 查找并替换：表示若查找的人员是现有负责人，则将其变更为替换为下拉框中选择的人员。
        是否将该修改应用在下级（如有）资源	可选择是否将该修改应用在下级资源，默认为否。 是，同时修改下级资源 否，仅应用在本资源

   • 批量修改保密级别

     勾选一个或多个选项后，单击修改保密级别按钮，在弹出的批量修改保密级别窗口中，设置保密级别后，单击确定按钮。

   • 批量配置整库申请限制

     勾选一个或多个选项后，从更多设置下拉列表中选择整库申请配置，在弹出的批量设置申请限制（整库） 窗口中，设置申请限制信息后，单击确定按钮。

   • 批量配置新增表默认设置

     勾选一个或多个选项后，从更多设置下拉列表中选择新增表默认设置，在弹出的新增表默认设置窗口中，设置新增表的密级和权限负责人后，单击确定按钮。

   • 批量修改续期配置

     勾选一个或多个选项后，从更多设置下拉列表中选择修改续期配置，在弹出的批量续期配置窗口中，选择是否续期后，单击确定按钮。

   • 批量设置申请问答
     勾选一个或多个选项后，从更多设置下拉列表中选择设置申请问答，在弹出的窗口中，设置申请问答信息后，单击确定按钮。

1.2 数据表配置

设置数据表权限的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。
   

3. 可搜索数据表，并单击某条数据表信息操作列的设置按钮，进入该数据表的权限设置页面。

   

4. 可执行以下操作：

   • 配置单个数据表

     可修改表级别权限负责人、保密级别、申请配置、续期配置等。

     参数	说明
     密级升高权限处理	可选择是否回收原获权方的权限。 全部回收：全部原获权方的该权限将被回收，原获权方应按需重新申请。 不回收：保留原获权方的权限。 当保密级别升高时，会显示该参数。
     继承申请问答	当上级库资源设置了申请回答时，该资源会继承申请问答。若要更改该问答信息，则需联系上级资源负责人进行修改。
     其他参数	其他参数说明请参见数据库配置部分。

   • 设置数据表的敏感列

     1. 单击列权限设置页签，进入设置敏感列页面。

     2. 单击 +敏感列按钮，设置敏感列的参数信息后，单击保存按钮，完成设置。

        参数	说明
        新增的敏感列，你希望如何处理原获权方的权限？	可选择原获权方是否需要重新申请新增部分的权限。 全部授权：全部原获权方将被授权。 不授权：原获权方需重新申请“敏感列”权限。 说明 无论选择哪个选项，库管、表Owner都将被授予敏感列的永久权限。
        敏感列名称	要设置为敏感列的字段名称，下拉可选该表已有的字段。
        保密级别	敏感列的保密级别，下拉可选。 说明 敏感列的保密级别不受表密级的限制，可单独设置。
        列权限负责人	敏感列的权限负责人，输入租户账号关键词后下拉可选。 列权限负责人可单独设置。该敏感列的权限负责人有对该列做权限设置的权力，如审批流、自动审批规则、列权限负责人、保密级别、续期配置、申请限制等的配置。同时该列权限负责人将作为审批流中的“权限负责人”节点，对列申请的工单进行审批。
        描述	对该字段的描述信息，自动显示，不支持手动维护。 该信息来自于该字段的字段描述，如需修改请前往数据地图平台进行操作。相关操作说明可参见数据检索。

   • 设置数据表的行限制

     1. 单击行权限设置页签，进入行权限设置页面。

     2. 设置行限制的参数信息后，单击保存按钮，完成设置。

        参数	说明
        行默认设置	可对后续新增（含权限负责人增加、用户申请时手动新增等）的枚举值给予默认的基础设置，包括保密级别、默认权限负责人、续期配置和申请配置。 说明 如果新增枚举值默认设置不为空，则以此处配置生效；如果为空，则默认遵循表的基础设置。 设置完成后将对表下新增行限制（含申请者添加）生效，已存在的行限制需前往对应资源的权限设置页面的设置处进行维护。
        行设置
        行限制申请	可选择是否开放行限制申请。 开放：对该表开启行限制申请，用户可按行申请。即在申请页面可以选择按整表或按行申请。开启后对当前已有表权限的用户不会有任何影响。 不开放：默认不开放，表示该表不开放行限制申请，仅可按整表申请。如果之前开放过又选择关闭的，则仅影响后续申请者无法按行申请， 而以前已有行权限的用户，仍然可以对已存在的行权限进行管理。
        手动增加枚举	可选择是否开放手动增加枚举。 若选择关闭，则在申请页面申请者将不可主动增加新的枚举值，仅可在已设置的枚举值中选择。
        受控字段	要控制访问条件的字段，支持设置多条。受控字段包含如下参数： *枚举值：手动输入行限制枚举值，如Beijing、Shanghai。 保密级别：行的保密级别，下拉可选。行保密级别不可高于表保密级别。 行权限负责人：行限制的权限负责人，输入租户账号关键词后下拉可选。 该行的权限负责人有单独做权限设置的权力，如审批流、自动审批规则、列权限负责人、保密级别、续期配置、申请限制等的配置。同时该行权限负责人将作为审批流中的“权限负责人”节点对列申请的工单进行审批。 描述：对该枚举值添加描述，方便后续维护，以及申请者识别申请内容。 支持逐个添加和批量导入枚举值。 逐个添加：单击添加列字段，从下拉列表中选择受控字段后，单击 +枚举值按钮，设置行限制信息。 批量导入：下载批量模版，打开模板并设置行限制信息后，上传枚举值文件。 说明 由于库包含表，表权限包含行，因此库管、表Owner无需被授予行限制的永久权限。 批量添加枚举值时，下载的文件中包含当前表设置中已设置的枚举值，上传的文件则会覆盖列表中已有的枚举值信息。 支持删除已设置的枚举值。删除后，原获权方的该行权限将被回收，整表权限不受影响。 支持删除受控字段。删除后，可能会影响数据开发任务的正常运行，请谨慎操作！ 删除某个受控字段（删除后受控字段>=1个），该字段当前的行权限将被回收，整表权限不受影响，列权限可能被放大。 例如：李白有表“name”+行"city=Beijing"and行"age=40"的权限，当作为行限制的受控字段"age"删除时，其"age=40"的行权限将被回收，此时age的访问将不再受限，李白对该表的访问范围可能会变大，比如可同时访问age=30、age= 50等数据。 删除所有受控字段，原获权方的行权限将被回收，整表权限不受影响，列权限可能被放大。

   • 批量配置数据表

     可批量修改权限负责人、保密级别、整表申请限制、续期配置等，具体操作可参见数据库配置部分。

1.3 敏感列/行限制配置

在配置数据表时，可以同时完成敏感列/行限制的配置和管理，具体操作可参见数据表配置部分。
添加敏感列/行限制后，也可单独对其进行修改、删除等操作，操作步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。

3. 可执行以下操作：

   • 单击敏感列页签，进入敏感列权限设置页面，可以管理敏感列信息。

     • 搜索敏感列

       通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息，查询符合条件的敏感列资源。当设置多个搜索条件时，会取各个条件的交集，进行查询。

     • 管理单个敏感列

       单击某条敏感列信息操作列的设置按钮，可修改单个敏感列的权限负责人、保密级别、申请配置与续期配置。

     • 批量操作

       勾选一个或多个选项后，可批量修改权限负责人、保密级别、敏感列申请配置、续期配置等。

     • 删除敏感列配置

       单击某条敏感列信息操作列的删除按钮，在弹出的确认删除对话框中，单击确定按钮，可以删除该敏感列。

   • 单击行限制页签，进入行限制权限设置页面，可以管理行限制信息。

     • 搜索行限制

       通过设置资源类型、保密级别、数据库、权限负责人、参数筛选等搜索信息，查询符合条件的行限制资源。当设置多个搜索条件时，会取各个条件的交集，进行查询。

     • 管理单个行限制

       单击某条行限制信息操作列的设置按钮，可修改单个行限制的权限负责人、保密级别、申请配置与续期配置。

     • 批量操作

       勾选一个或多个选项后，可批量修改权限负责人、保密级别、行限制申请配置、续期配置等。

     • 删除行限制配置

       单击某条行限制信息操作列的删除按钮，在弹出的确认删除对话框中，单击确定按钮，可以删除该行限制。

1.4 资源包配置

资源包可以看作是数据库的一个子集。您可以把单个数据库内的表、行、列打包为一个或多个资源包，并将资源包作为一个单独资源进行管理，包括单独设置权限负责人、密级、审批流等。例如，可对同一个库下N张表的行限制“appid=00001”打包，由该appid的权限负责人统一审批、管理。申请者可申请资源包，通过一条资源包的审批流程可获得包内所有权限。

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 资源包，进入资源包页面。

   

3. 可查看资源包列表，并执行以下操作：

   • 新建资源包

     1. 单击新建资源包按钮，进入新建资源包页面。

     2. 设置基础信息、权限设置、审批流、自动审批等相关信息，依次单击下一步按钮，设置完成后，单击完成按钮完成创建。

     参数	说明
     基础信息
     *数据源	支持 Las，默认选中。
     *数据库	要打包资源的数据库，可输入已创建的数据库关键词后下拉选择。 说明 只允许选择同一个数据库内的资源创建资源包，如更换选定的数据库，将会清空当前添加所有资源。
     *资源包名称	资源包的名称，自行设定。同一数据库下的资源包名称不可重复。 资源包名称仅可由中文、数字、字母、'-'或'_'组成。
     描述	资源包的描述信息，以便后续管理。
     添加资源
     *资源类型	添加的资源类型，支持数据库、数据表、敏感列、行限制四个类型选项，可分别选择添加到同一个资源包中。
     *添加资源	添加到资源包中的资源，下拉可选。 添加的资源会显示在列表中，可以按需修改资源的访问类型，也可移除不需要的资源。
     权限设置
     *权限负责人	资源包的权限负责人，默认为当前用户，可输入账号关键词下拉选择其他用户，支持设置多个。
     *保密级别	资源包的保密级别，默认为所有添加资源的最高密级，可下拉选择其他。 说明 资源包密级不得低于添加资源的密级。
     *续期配置	可设置是否允许续期。 允许续期：允许获权方续期。 禁止续期：禁止获权方续期。选择该选项时，需填写原因，并可设置白名单。 原因：填写不允许续期的原因。 个人白名单：在个人白名单内的获权方允许续期。可输入账号关键词下拉选择，支持设置多个。
     申请配置	选择是否开放资源包访问权限的申请。 当选择不开放时，需填写禁止申请的原因；当选择开放时，可设置禁止申请的类型，包括多人、单人两个选项，支持多选。
     审批流和自动审批
     审批流	资源包的审批流。 若数据库未开启审批流继承，则自动填充默认审批流，可自定义审批流，相关说明可参见设置自定义审批流。 若数据库开启了审批流继承，则遵循继承规则。
     自动审批	资源包的自动审批设置。 若全局和库均未开启资源包自动审批，可在此对资源包单独开启。 若全局或者库开启了资源包自动审批，则资源包自动遵循上级规则。

   • 搜索资源包

     设置搜索信息，可以查看符合条件的资源包列表。

   • 查看资源详情

     单击某条资源包信息操作列的资源详情按钮，可查看其包含的资源详情，并执行以下操作：

     • 单击添加资源按钮，添加新的资源。修改即时生效，将对当前所有获权方产生影响。

     • 单击编辑按钮，修改已有资源的权限访问类型后，单击确认按钮完成修改。

     • 单击某条资源信息操作列的删除图标，二次确认后，可将该资源移出资源包。

   • 查看授权详情

     单击某条资源包信息操作列的授权详情按钮，可以跳转到该资源包的授权管理页面，查看并管理其授权信息，相关操作说明请参见授权管理。

   • 权限设置等操作

     资源包的权限设置、审批流设置、自动审批设置、操作历史等与单条资源的操作逻辑均一致，相关操作说明可参见数据库配置部分。

   说明

   • 仅可查看并管理您作为库管、库权限负责人或资源包负责人的资源包。

   • 在单条资源的授权详情处也可查看通过资源包获得权限的获权方，但仅能在资源包授权详情处修改其权限。

2 设置审批流

本功能支持默认审批流、自定义审批流和继承审批流三种审批流设置方式。设置相关资源的审批流时，您可按需组合使用。

2.1 设置默认审批流

不同的保密级别对应的默认审批流程不同，保密级别越高（L4最高），审批流程越严格。不同密级的默认审批流如下：

• L1：无需审批，申请后直接通过

• L2：权限负责人

• L3：权限负责人 > 表OWNER/库管理员

• L4：权限负责人 > 表OWNER/库管理员

2.2 设置自定义审批流

如果某些资源比较重要，需要其他个人或角色进行审批，则可以在默认节点前或后添加审批节点。设置完成后，新的权限申请将会按照设置的审批流进行审批，全部节点通过后才会获权。自定义审批流支持的自定义角色如下：

• 角色：系统自带的默认角色。

  • 数据库：库管理员

  • 数据表：库管理员、库权限负责人、表OWNER

  • 行/列：库管理员、库权限负责人、表OWNER、表权限负责人

  • 资源包：库管理员、库权限负责人

• 自定义审批角色：自行创建的自定义角色。自定义角色创建相关说明请参见审批设置。

自定义节点支持设置触发条件。若设置了触发条件，则仅满足该条件的资源的审批流程才增加该审批节点；若未设置触发条件，则所有该资源的申请均增加该节点。

各种资源设置审批流的过程基本相同，以数据表为例，介绍设置审批流的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。

3. 可执行以下操作：

   • 设置单个数据表的审批流

     1. 单击某条信息操作列的设置审批流按钮，进入该数据表的审批流设置页面。

        

     2. 可执行以下操作，按需设置自定义审批流后，单击确定按钮完成设置。

        • 单击默认节点右侧的添加节点图标⊕，在新增的审批节点中，选择审批角色或个人。

        • 单击自定义节点右侧的设置图标按钮，可以设置触发条件。
          一个自定义节点仅可设置一个触发条件。当前支持的触发条件包括：

          • 申请类型 - 属于/不属于 - 个人/用户组，下拉可选，支持多选。

          • 权限负责人 - 属于/不属于 - 相关人员，输入账号关键字搜索选择，支持设置多个。

          • 资源类型 - 属于/不属于 - 敏感资源，即指敏感列，下拉可选。

          • 表Owner - 属于/不属于 - 相关人员，输入账号关键字搜索选择，支持设置多个。

        • 在审批节点下拉列表中，选择新的角色或个人，可以修改该节点的审批信息。

        • 鼠标悬停在某个审批节点，单击右侧显示的删除节点图标，可以删除该审批节点。

   • 批量设置审批流

     1. 勾选一个或多个相同密级的数据表选项，从更多设置下拉列表中选择设置审批流，弹出批量设置审批流窗口。

     2. 可以添加新的审批节点，并对其进行修改或删除操作，单击确定按钮，弹出确认覆盖原有审批流设置的对话框，单击确定按钮，完成设置。

2.3 设置审批流继承

如果您负责的资源存在下级资源，则可以开启审批流继承功能，对下级资源审批流进行统一管理。其中，库支持表、行、列继承，表支持行、列继承，且库审批流继承的优先级高于表。
库、表资源设置审批流继承的过程基本相同，以数据表为例，介绍设置审批流继承的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。

3. 可执行以下操作：

   • 设置单个数据表的审批流继承

     1. 单击某条信息操作列的设置审批流按钮，进入该数据表的审批流设置页面。

     2. 单击开启下级资源（含新增）继承审批流旁的复合按钮，显示继承审批流相关设置项。

        

     3. 设置下级各密级数据审批流后，单击保存按钮，弹出确认对话框，单击确定按钮，完成审批流继承设置。

        • 当下级是否允许自定义选择是时，需分别对L2/L3/L4密级进行审批流配置。其下级资源将执行此处设置的对应密级的审批流，下级仍可在继承的基础上增加自定义审批节点，但不可删除继承过来的节点。

        • 当下级是否允许自定义选择否时，需分别对L2/L3/L4密级进行审批流配置。其下级资源将执行此处设置的对应密级的审批流，且不能自行修改。

   • 批量设置审批流继承

     1. 勾选一个或多个相同密级的数据表选项，从更多设置下拉列表中选择设置审批流，弹出批量设置审批流窗口。

     2. 设置继承审批流信息后，单击确定按钮，弹出确认覆盖原有审批流设置的对话框，单击确定按钮，完成设置。

3 设置自动审批

本功能支持按资源开启自动审批。申请某资源自动审批后，其下级资源权限也将按照所配置的规则自动通过审批。例如申请库权限自动审批，则其下级表行列权限均将按照所配置的规则自动通过审批。
各种资源设置自动审批的过程基本相同，以数据表为例介绍设置自动审批的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。

3. 可以为单个或批量资源设置自动审批，详细操作说明可参见权限审批。

   • 单击某条数据操作列的设置自动审批按钮，在该资源的自动审批设置页面，可以为其设置自动审批规则。

   • 勾选一条或多条数据，从更多设置下拉列表中选择设置自动审批，可以批量设置自动审批。

   

4 查看操作历史

各种资源查看操作历史的过程基本相同，以数据表为例介绍查看操作历史的步骤如下：

1. 登录 DataLeap 控制台。

2. 选择概览 > 数据安全 > 权限管理 > 权限设置 > 数据表，进入数据表页面。

3. 单击某条数据操作列的操作历史按钮，弹出操作历史侧拉窗口。

   

4. 可以查看历史操作记录，并可选择 2~3 个相同操作类型的版本后，单击版本对比按钮进行信息比对，变更的内容显示为红色字体。