DataWorks では、プロダクトレベルのアクセス制御と管理コンソールのアクセス制御の両方において、Alibaba Cloud Resource Access Management (RAM) ポリシーが使用されます。権限を付与するには、RAM ユーザーまたは RAM ロールなどのユーザーにアクセスポリシーをアタッチします。これにより、ユーザーはポリシーで定義されたアクセス権限を取得します。本トピックでは、サポートされるアクセス制御の種類について説明し、ルートアカウントが DataWorks の管理ポリシーをユーザーに付与する方法を解説します。
プロダクトレベルの粗粒度アクセス制御:システムポリシーおよびカスタムポリシー
デフォルトでは、Alibaba Cloud アカウントのみが DataWorks のプロダクトレベル管理権限を持ちます。RAM ユーザーに管理タスクを実行させる必要がある場合は、以下の表に示すシステムポリシーをユーザーに付与できます。これにより、ユーザーは Alibaba Cloud アカウントと同等のすべての操作権限を取得します。
権限の種類 | 制御範囲 | 権限名 | 説明 | 参照情報 |
RAM ユーザーに対する許可操作(システムポリシー) | DataWorks サービスの管理権限 | AliyunDataWorksFullAccess | この権限を付与すると、RAM ユーザーは DataWorks に対して広範な権限を取得します。ユーザーはルートアカウントに代わって内部プロダクト機能を管理できますが、購入関連の操作は実行できません。 | RAM ユーザーへの権限付与手順については、「RAM ユーザーへの権限付与」をご参照ください。 |
リソース購入権限 | AliyunBSSOrderAccess | このシステムポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは課金管理コンソールで注文の表示、支払い、キャンセルが可能になります。 この権限により、RAM ユーザーは管理コンソール上でリソースの購入およびサービスの更新が可能です。 | ||
RAM ユーザーに対する禁止操作(カスタムポリシー) | DataWorks における操作の禁止(詳細) | カスタム | ユーザーが管理コンソールにログインすること、DataWorks モジュールインターフェイスにアクセスすること、および OpenAPI を呼び出すことを禁止します。 | まず、「プロダクトレベルの制御ポリシー」を参照してポリシードキュメントを定義します。その後、カスタムポリシーを RAM ユーザーにアタッチして権限を付与します。手順については、「(オプション)カスタムポリシーの作成」をご参照ください。 |
OpenAPI の呼び出し禁止(詳細) | デフォルトでは、モジュールレベルの権限を持つ DataWorks のユーザーは、対応する OpenAPI 操作を呼び出すことができます。ユーザーがすべての OpenAPI 操作を呼び出せないようにするには、ユーザーに特定の権限を割り当てます。 | |||
DataWorks モジュールインターフェイスへのアクセス禁止(詳細) | デフォルトでは、Alibaba Cloud アカウント内のすべての RAM ユーザーは DataWorks テナントのメンバーです。そのため、グローバルレベルのすべてのモジュールおよび、メンバーとして追加されたワークスペースのワークスペースレベルモジュールにアクセスできます。 DataWorks 内のすべてのモジュールインターフェイスへのアクセスをユーザーから防止できます。 |
細粒度コンソールアクセス制御:カスタムポリシー
DataWorks では、以下のエンティティに関する操作に対して細粒度のアクセス制御がサポートされています。
対象 | 関連操作 | 参照情報 |
ワークスペース |
| コンソール向けの細粒度権限を付与するには、まず「コンソールエンティティレベルの制御ポリシー」を参照してカスタムポリシーを作成します。その後、カスタムポリシーを RAM ユーザーにアタッチします。手順については、「RAM ユーザーへの権限付与」をご参照ください。 |
リソースグループ |
| |
アラート情報 |
|
RAM ユーザーへの権限付与
RAM コンソールに RAM 管理者としてログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザー ページで目的の RAM ユーザーを見つけ、権限の追加 をクリックします(操作 列)。
複数の RAM ユーザーを選択し、ページ下部の 権限の追加 をクリックすることで、一括で権限を付与することもできます。
権限の追加 パネルで、RAM ユーザーに権限を付与します。
システムポリシーおよびカスタムポリシーのいずれかを付与できます。カスタムポリシーを付与する場合は、事前に「カスタムポリシーの作成」を行ってください。利用可能なシステムポリシーおよびカスタムポリシーについては、「プロダクトレベルの粗粒度アクセス制御:システムポリシーおよびカスタムポリシー」をご参照ください。
説明パラメーター設定の詳細については、「RAM ユーザーの権限管理」をご参照ください。
(オプション)カスタムポリシーの作成
細粒度の RAM ポリシーを用いた細粒度アクセス制御を実装するには、まずカスタムポリシーを作成する必要があります。粗粒度の権限付与にシステムポリシーを使用する場合は、このステップをスキップできます。
Alibaba Cloud アカウントを使用して、Resource Access Management コンソールでカスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
カスタムプロダクトレベル制御ポリシーを作成するには、「プロダクトレベルの制御ポリシー」を参照してポリシードキュメントを定義します。
カスタムコンソールエンティティレベルポリシーを作成するには、以下のように設定します:
ポリシー要素
説明
Action
カスタムポリシーの Action 要素は、「コンソールエンティティレベルの制御ポリシー」に記載されている対応する制御項目の Action を基に設定します。フォーマットは上記の図に示されています。
Resource
カスタムポリシーの Resource 要素は、「コンソールエンティティレベルの制御ポリシー」に記載されている対応する制御項目の Resource を基に設定します。フォーマットは上記の図に示されています。
説明Resource に関する注意事項:
カスタムポリシーを作成する際は、Resource 要素内のプレースホルダー
$を実際の ID に置き換えます。たとえば、$regionidは実際のリージョン ID に、$accountidはご利用の Alibaba Cloud アカウントの UID にそれぞれ置き換えます。アスタリスク (
*) はワイルドカード文字です。これを特定のパラメーター値に置き換えることで、権限の範囲をさらに絞り込むことができます。たとえば、workspace/*をworkspace/workspaceidに置き換えると、ポリシーは指定されたワークスペース内でのみ有効になります。