全部產品
Search
文件中心

DataWorks:最佳實務:為RAM使用者授權指引

更新時間:Jun 19, 2024

當需要RAM使用者(子帳號)使用DataWorks時,您可基於不同使用情境為其分配許可權,進行相關許可權管控。本文為您介紹不同使用情境的授權指引。

背景資訊

DataWorks在產品管控、功能使用等方面提供了完善的許可權管控體系,根據功能使用範圍分為全域級功能模組和空間級功能模組,並分別提供全域級角色、空間級角色對相應功能進行許可權管控。您可通過RAM Policy許可權體系控制DataWorks產品管控許可權,通過RBAC許可權模型控制產品模組許可權。

本文基於授權維度,為您介紹DataWorks各使用情境下的授權。您可通過管控許可權、全域模組許可權管控產品、空間模組許可權管控產品,進一步瞭解DataWorks許可權管控體系。

許可權管控體系介紹

根據授權的操作類別、許可權體系類型等不同維度,RAM使用者權限管控劃分如下圖。授權體系介紹如果希望使用者進行全域操作,可授予粗粒度的產品級許可權;如果希望使用者僅操作某模組,或管理主控台及資源群組,可授予細粒度的模組層級許可權。

說明

RAM使用者所有權限原則中禁止類操作(Deny)權限原則優先。

本文基於許可權管控的授與類型,為您介紹RAM使用者權限管控詳情,具體請參見:

產品級:DataWorks管理與操作許可權管控

產品級的DataWorks管理與操作許可權管控,需通過存取控制的RAM權限原則實現,具體如下。

權限類別

許可權說明

操作流程

操作參考文檔

允許RAM使用者管理DataWorks服務

DataWorks中預設僅阿里雲主帳號擁有管理DataWorks服務的許可權,如果您需要某RAM使用者協同管理DataWorks服務,則可授予其該許可權。

說明

設定該許可權後,RAM使用者將擁有DataWorks較大的許可權,可代理主帳號管理產品相關內部功能(不包括購買相關功能)。

  1. 進入存取控制。

  2. 授予RAM使用者AliyunDataWorksFullAccess系統權限原則。

為RAM使用者授權

允許RAM使用者購買資源、開通服務

DataWorks中預設僅阿里雲主帳號可購買資源、開通服務(例如,購買DataWorks標準版、專業版、企業版),如果您需要某RAM使用者可執行該操作,則可授予其該許可權。

說明

授權後,RAM使用者可在費用中心(BSS)查看、支付及取消訂單。

  1. 進入存取控制。

  2. 授予RAM使用者AliyunBSSOrderAccess系統權限原則。

為RAM使用者授權

禁止RAM使用者操作DataWorks

如果您需要禁止某使用者進入管理主控台、進入DataWorks各模組介面、調用OpenAPI,則可授予其該許可權。

說明

DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,並允許訪問DataWorks管理主控台。

  1. 進入存取控制。

  2. 建立自訂權限原則,策略內容請參考策略一:禁止RAM使用者執行所有操作

  3. 找到目標使用者,為其授予該自訂權限原則。

禁止RAM使用者調用OpenAPI

DataWorks中預設具有DataWorks某模組許可權的使用者可調用相應模組對應的OpenAPI。如果您需要禁止某使用者調用所有OpenAPI,則可授予其該許可權。

  1. 進入存取控制。

  2. 建立自訂權限原則,策略內容請參考策略二:禁止RAM使用者調用OpenAPI

  3. 找到目標使用者,為其授予該自訂權限原則。

禁止RAM使用者進入DataWorks的各模組介面

如果您需要禁止某使用者進入DataWorks的所有模組介面,則可授予其該許可權。

說明
  • DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,允許訪問全域模組,並且可訪問已加入工作空間的空間模組。

  • 該策略僅禁止RAM使用者訪問DataWorks模組介面,但仍可調用其有許可權的模組OpenAPI。

  1. 進入存取控制。

  2. 建立自訂權限原則,策略內容請參考策略三:禁止RAM使用者進入DataWorks各模組介面

  3. 找到目標使用者,為其授予該自訂權限原則。

模組層級:DataWorks管理主控台許可權管控

模組層級的DataWorks管理主控台許可權管控,需通過存取控制的RAM權限原則實現,具體如下。

權限類別

許可權說明

操作流程說明

參考文檔

允許RAM使用者管理工作空間及資源群組

DataWorks中預設僅阿里雲主帳號可管理DataWorks資源及工作空間。例如,修改資源群組及工作空間配置、刪除資源群組。

如果您需要某RAM使用者可管理資源群組及工作空間,則可授予其該許可權。

  1. 進入存取控制。

  2. 建立自訂權限原則。

    說明

    資源群組及工作空間的管理組件含多種細分操作,不同操作對應的權限原則組成不同,實際使用時,請參考產品及控制台許可權控制詳情:RAM Policy建立權限原則。

  3. 找到目標使用者,為其授予該自訂權限原則。

模組層級:DataWorks不同模組許可權管控

模組層級的DataWorks各模組許可權管控,需通過DataWorks工作空間的成員管理實現,具體如下表。

權限類別

許可權說明

操作流程

授予RAM使用者空間角色

RAM使用者需要加入某工作空間成為空白間成員後,才可進行相關開發操作。您可通過授予RAM使用者不同的空間角色,實現不同模組介面功能的許可權管控。例如:

  • 授予RAM使用者空間預設的開發角色,使其進入指定工作空間進行資料開發。例如,建立表、運行SQL。

  • 授予RAM使用者空間預設的營運角色,使其可在工作空間執行任務發布、營運等相關操作。

  • 授予RAM使用者自訂角色,使其僅擁有您自訂的許可權。

說明

DataWorks空間預設角色及自訂角色介紹,詳情請參見空間級許可權控制產品能力

  1. 進入空間成員管理頁面

  2. 可選:自訂空間角色

  3. 添加RAM使用者為空白間成員,並授予其空間預設角色或自訂角色

授予RAM使用者全域角色

DataWorks中預設阿里雲主帳號下所有RAM使用者均為其租戶成員,允許訪問但無法管理全域模組。如果您需要某RAM使用者管理全域模組,實現不同情境的許可權管控,則可授予其該許可權。例如:

  • 授予RAM使用者指定角色,實現僅該使用者擁有指定模組的系統管理權限。

  • 授予RAM使用者指定角色,禁止該使用者訪問指定模組。

說明

DataWorks全域預設角色及自訂角色介紹,詳情請參見全域級模組許可權控制

  1. 進入全域成員管理頁面

  2. 可選:自訂全域角色

  3. 添加RAM使用者為空白間成員,並授予其全域預設角色或自訂角色