QuickBI关于业务分析人员连接MaxCompute数据源权限控制问题解决方案及常见报错解析

简介: 企业上云,maxcompute数仓结合quickbi智能报表的组合较为常见,使用广泛。maxcompute权限管理较为精细化,部分权限缺失常常导致bi端相关数据应用报错,权限过高又会有潜在的风险暴露。本文针对上述问题提出相关的解决方案及常见的报错解析,当前方案已得到较多的应用。

一、高频问题及痛点

quickbi官网显示配置maxcompute数据源提示需要购买实例的账号ak

根据用户所在企业所承担的角色责任不同,问题分为 1.业务分析人员 和 2.数据管理或架构人员 两种情况:

  1. 管理员不提供主账号ak;多次索取主账号ak,易泄露,多个项目数据安全无法保证。(主账号拥有多个maxcompute项目、及项目下所有对象的所有权限,泄露风险较高)
  1. 有且仅有子账号ak,公司仅一个quickbi实例,多条业务线、总分公司分析人员通过工作空间区分
  2. 能否和rds-mysql一样通过子(其他)账号的ak配置数据源?
  3. 子账号ak可以通过联通性测试但数据表列表为空或不全,怎么配置权限?
  1. 管理员负责配置主账号ak的数据源,提供数据集供使用
  1. 分析师对业务分析宽表维度要求高,需求多变,如通过“数据集”模块控制权限,授予qbi分析师角色的人员需提工单到开发角色生成数据集后并授权,时效过长,灵活性差。
  2. 给予分析人员开发角色可以改善数据宽表灵活性的问题,但主账号配置的数据源权限过大,会看到数仓dws层以外的明细表并创建新的数据集,导致“数据集”模块行级权限失效;同时“数据准备”模块拥有所有表的写入权限,可能会存在操作不规范、意外清空库表的情况。

二、解决方案

  1. 数据源连接串配置使用maxcompute项目中的RAM子账号的ak进行连接串配置
  2. 在quickbi“用户管理”模块中用户类型设置为“开发者”,相应工作空间成员设置为“开发权限”
  3. 根据使用quickbi的不同功能在maxcompute项目中授权给子账号不同quickbi功能所需要的权限(权限及说明见下表)
  1. 项目级权限CreateInstance,List,CreateTable
  2. 表级权限仅授权dws层的指标汇总表、dwd层的事实及事件明细表、维度码表的Describe及Select权限(尽量授权个人ACL权限且不授权公共角色的Policy权限确保权限控制精准)
  1. 需要用到数据准备模块的业务线同事仅进行新建表的数据库写入

这样配置在可以同时兼顾主账号及库表安全性,分析所用数据集宽表的灵活性,下级分公司行级权限的约束性

权限级别

权限名

权限说明

qbi对应模块需要

项目级

CreateInstance

执行实例SQL作业

数据集及仪表板等报表模块

List

查看项目类型列表,show tables

数据源、数据集

CreateTable|Write

建表权限

数据准备

表级

Describe

元数据信息

数据源、数据集

Select

查询

数据集及仪表版等报表模块

ALL

全部权限,主要是写

数据准备

三、实现案例

1、账号及mc项目基础配置

  • maxcompute项目:quickbi_odps_test
  • 阿里云主账号:ALIYUN$liupai.lp
  • bi分析及报表专用-阿里云RAM子账号:RAM$liupai.lp:xiaos
  • 创建maxcompute分析及报表用专用角色“biuser”
  • 创建dataworks自定义角色“报表用户”并配置maxcompute项目中的角色“biuser”
  • 在quickbi组织成员中添加RAM用户xiaos,并授予“开发者”权限
  • 新建工作空间bi_works(若存在则跳过)
  • 在bi_works的工作空间内添加用户xiaos,并赋予开发权限
  • 使用RAM账号xiaos的accessid和accesskey配置odps数据源
  • 项目中存在 d_cust 客户表、d_sales_amt 销售表、table_main 主账号临时测试表均为高权限主账号创建
-- 客户表
CREATE TABLE IF NOT EXISTS d_cust(
    cust_id INT 
    ,cust_name STRING 
    ,level STRING 
    ,randn FLOAT 
) PARTITIONED BY (dt STRING );
-- 销售表
CREATE TABLE IF NOT EXISTS d_sales_amt(
    event_id INT 
    ,cust_id int
    ,pay_time DATETIME 
) PARTITIONED BY (dt STRING );
-- 主账号创建临时测试表
CREATE TABLE IF NOT EXISTS table_main (
    col1 String
    ,col2 STRING
    ,col3 INT
)partitioned by (dt STRING);


2、权限配置操作

a、数据源模块

  • 授予数据源模块可用数据表清单的相关权限
-- 授予project List
-- 授予table d_cust和d_sales_amt Describe 权限
GRANT List ON PROJECT quickbi_odps_test to USER RAM$liupai.lp:xiaos;
GRANT Describe ON table d_cust to USER RAM$liupai.lp:xiaos;
GRANT Describe ON table d_sales_amt to USER RAM$liupai.lp:xiaos;

-- 查看用户的权限
SHOW GRANTS for RAM$liupai.lp:xiaos;
  • 可以看到xiaos存在项目的List的查看项目类型列表权限以及[d_cust,d_sales_amt]的获取元数据权限

  • 在点击数据源同步按钮并同步完成后,可以看到该数据源根据用户的权限匹配出了[d_cust,d_sales_amt]两张表

b、数据集模块

  • 授予数据集模块预览数据的相关权限
-- 授予用户 创建实例 的权限
GRANT CreateInstance ON PROJECT quickbi_odps_test to USER RAM$liupai.lp:xiaos;
-- 授予用户 相关业务表 查询的权限
GRANT Select ON table d_cust to USER RAM$liupai.lp:xiaos;
-- 查看用户的权限
SHOW GRANTS for RAM$liupai.lp:xiaos;
  • 可以查看xiaos存在项目的CreateInstance的创建实例的权限及相关业务表的查询权限

  • 可以正常预览并创建数据集进行报表及图表的加工

c、数据准备模块

  • 授予该用户 CreateTable
-- 授予客户物理表创建的权限
GRANT CreateTable ON PROJECT quickbi_odps_test to USER RAM$liupai.lp:xiaos;
GRANT Write ON PROJECT quickbi_odps_test to USER RAM$liupai.lp:xiaos;
  • 利用数据准备模块,根据已有权限的表进行轻量级ETL的加工,手动或周期性写入数据库表中:写入表需宣导分析师用户使用自建表

  • 该RAM用户仅作为数据准备所创建的表[qbi_etl_test]的ObjectCreator,数仓中其余的明细表或维度表并无写入、删除等高危权限

四、常见报错解析

1、数据源模块

  • 重复提交同步元数据请求

maxcompute数据源受到源端限制,同步速度较慢,周期为1小时自动更新一次;手动点击同步按钮一段时候后刷新页面即可显示同步结果,同步时常与配置数据源中项目内物理表的数量有关。

2、数据集模块

  • 数据预览失败

数据集的预览相当于数据库客户端,需要RAM用户具备项目执行实例[CreateInstance]及相关表的查询[Select]权限才能查询数据结果并展示。

对于maxcompute数据源分区表在数据预览时被限制不允许全表扫描[specify partition predicates],可以通过如下三种方式:

  1. 直接从左侧数据表拖拽的数据源,可以通过配置过滤条件正常预览

  1. 直接从左侧数据表拖拽的数据源,直接点击保存,在数据集模块找到该数据集,将数据集属性中的“全表扫描”功能打开

  1. 可以通过配置自定义sql结合where条件的方式指定分区键的取值以跳过全表扫描的限制

由于quickbi侧数据预览模块limit关键词的限制,通过设置会话级参数set odps.sql.allow.fullscan=true;的方式不能达到全表扫描的效果

3、数据准备模块

  • ETL作业执行失败:the agent task execution failed

maxcompute数据源相关数据处理都要注意分区表fullscan的问题,上述etl任务执行失败需在源端数据配置模块按分区键进行设置,并确认“输入过滤”模块右下角的语法正确性检测为绿色对勾

相关实践学习
基于MaxCompute的热门话题分析
Apsara Clouder大数据专项技能认证配套课程:基于MaxCompute的热门话题分析
相关文章
|
存储 分布式计算 Hadoop
Hadoop框架解析:大数据处理的核心技术
组件是对数据和方法的封装,从用户角度看是实现特定功能的独立黑盒子,能够有效完成任务。组件,也常被称作封装体,是对数据和方法的简洁封装形式。从用户的角度来看,它就像是一个实现了特定功能的黑盒子,具备输入和输出接口,能够独立完成某些任务。
|
12月前
|
人工智能 分布式计算 DataWorks
多模态数据处理新趋势:阿里云ODPS技术栈深度解析与未来展望
阿里云ODPS技术栈通过MaxCompute、Object Table与MaxFrame等核心组件,实现了多模态数据的高效处理与智能分析。该架构支持结构化与非结构化数据的统一管理,并深度融合AI能力,显著降低了分布式计算门槛,推动企业数字化转型。未来,其在智慧城市、数字医疗、智能制造等领域具有广泛应用前景。
869 6
多模态数据处理新趋势:阿里云ODPS技术栈深度解析与未来展望
|
消息中间件 分布式计算 关系型数据库
大数据-140 - ClickHouse 集群 表引擎详解5 - MergeTree CollapsingMergeTree 与其他数据源 HDFS MySQL
大数据-140 - ClickHouse 集群 表引擎详解5 - MergeTree CollapsingMergeTree 与其他数据源 HDFS MySQL
393 0
|
人工智能 分布式计算 大数据
MCP、MaxFrame与大数据技术全景解析
本文介绍了 MCP 协议、MaxFrame 分布式计算框架以及大数据基础设施建设的相关内容。MCP(Model Context Protocol)是一种开源协议,旨在解决 AI 大模型与外部数据源及工具的集成问题,被比喻为大模型的“USB 接口”,通过统一交互方式降低开发复杂度。其核心架构包括 Client、Server、Tool 和 Schema 四个关键概念,并在百炼平台中得到实践应用。MaxFrame 是基于 Python 的高性能分布式计算引擎,支持多模态数据处理与 AI 集成,结合 MaxCompute 提供端到端的数据处理能力。
|
人工智能 自然语言处理 数据可视化
大模型+BI:一场关乎企业未来生死的数据智能卡位战 | 【瓴羊数据荟】数据MeetUp第四期
随着大模型技术突破,全球企业迎来数据智能革命。Gartner预测,到2027年,中国80%的企业将采用多模型生成式AI策略。然而,数据孤岛与高门槛仍阻碍价值释放。
811 8
大模型+BI:一场关乎企业未来生死的数据智能卡位战 | 【瓴羊数据荟】数据MeetUp第四期
|
存储 搜索推荐 大数据
数据大爆炸:解析大数据的起源及其对未来的启示
数据大爆炸:解析大数据的起源及其对未来的启示
929 15
数据大爆炸:解析大数据的起源及其对未来的启示
|
数据可视化 数据挖掘 BI
Quick BI 深度体验:数据洞察,触手可及——打造智能零售分析利器
作为一名数据分析师,我深度体验了阿里云Quick BI。这是一款功能强大的全场景BI平台,支持多数据源接入与智能分析,操作简单且智能化程度高。通过上传Excel文件即可快速生成数据集,并利用丰富图表进行可视化分析。其“智能小Q助手”可对话式查询数据、自动生成报表,极大降低分析门槛。尽管新手引导和移动端体验尚有优化空间,但Quick BI无疑是企业实现数据驱动决策的有力工具。强烈推荐给希望提升业务竞争力的企业!
|
存储 分布式计算 大数据
大数据揭秘:从数据湖到数据仓库的全面解析
大数据揭秘:从数据湖到数据仓库的全面解析
481 19
|
存储 JavaScript 前端开发
Vue3权限控制全攻略:路由与组件层面的用户角色与权限管理方法深度解析
Vue3权限控制全攻略:路由与组件层面的用户角色与权限管理方法深度解析
1922 2
|
存储 SQL 分布式计算
湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
【10月更文挑战第7天】湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
1222 1

推荐镜像

更多
  • DNS