當需要RAM使用者(子帳號)使用DataWorks時,您可基於不同使用情境為其分配許可權,進行相關許可權管控。本文為您介紹不同使用情境的授權指引。
背景資訊
DataWorks在產品管控、功能使用等方面提供了完善的許可權管控體系,根據功能使用範圍分為全域級功能模組和空間級功能模組,並分別提供全域級角色、空間級角色對相應功能進行許可權管控。您可通過RAM Policy許可權體系控制DataWorks產品管控許可權,通過RBAC許可權模型控制產品模組許可權。
本文基於授權維度,為您介紹DataWorks各使用情境下的授權。您可通過管控許可權、全域模組許可權管控產品、空間模組許可權管控產品,進一步瞭解DataWorks許可權管控體系。
許可權管控體系介紹
根據授權的操作類別、許可權體系類型等不同維度,RAM使用者權限管控劃分如下圖。
如果希望使用者進行全域操作,可授予粗粒度的產品級許可權;如果希望使用者僅操作某模組,或管理主控台及資源群組,可授予細粒度的模組層級許可權。
RAM使用者所有權限原則中禁止類操作(Deny)權限原則優先。
本文基於許可權管控的授與類型,為您介紹RAM使用者權限管控詳情,具體請參見:
產品級:DataWorks管理與操作許可權管控
產品級的DataWorks管理與操作許可權管控,需通過存取控制的RAM權限原則實現,具體如下。
權限類別 | 許可權說明 | 操作流程 | 操作參考文檔 |
允許RAM使用者管理DataWorks服務 | DataWorks中預設僅阿里雲主帳號擁有管理DataWorks服務的許可權,如果您需要某RAM使用者協同管理DataWorks服務,則可授予其該許可權。 說明 設定該許可權後,RAM使用者將擁有DataWorks較大的許可權,可代理主帳號管理產品相關內部功能(不包括購買相關功能)。 |
| |
允許RAM使用者購買資源、開通服務 | DataWorks中預設僅阿里雲主帳號可購買資源、開通服務(例如,購買DataWorks標準版、專業版、企業版),如果您需要某RAM使用者可執行該操作,則可授予其該許可權。 說明 授權後,RAM使用者可在費用中心(BSS)查看、支付及取消訂單。 |
| |
禁止RAM使用者操作DataWorks | 如果您需要禁止某使用者進入管理主控台、進入DataWorks各模組介面、調用OpenAPI,則可授予其該許可權。 說明 DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,並允許訪問DataWorks管理主控台。 |
| |
禁止RAM使用者調用OpenAPI | DataWorks中預設具有DataWorks某模組許可權的使用者可調用相應模組對應的OpenAPI。如果您需要禁止某使用者調用所有OpenAPI,則可授予其該許可權。 |
| |
禁止RAM使用者進入DataWorks的各模組介面 | 如果您需要禁止某使用者進入DataWorks的所有模組介面,則可授予其該許可權。 說明
|
|
模組層級:DataWorks管理主控台許可權管控
模組層級的DataWorks管理主控台許可權管控,需通過存取控制的RAM權限原則實現,具體如下。
權限類別 | 許可權說明 | 操作流程說明 | 參考文檔 |
允許RAM使用者管理工作空間及資源群組 | DataWorks中預設僅阿里雲主帳號可管理DataWorks資源及工作空間。例如,修改資源群組及工作空間配置、刪除資源群組。 如果您需要某RAM使用者可管理資源群組及工作空間,則可授予其該許可權。 |
|
模組層級:DataWorks不同模組許可權管控
模組層級的DataWorks各模組許可權管控,需通過DataWorks工作空間的成員管理實現,具體如下表。
權限類別 | 許可權說明 | 操作流程 |
授予RAM使用者空間角色 | RAM使用者需要加入某工作空間成為空白間成員後,才可進行相關開發操作。您可通過授予RAM使用者不同的空間角色,實現不同模組介面功能的許可權管控。例如:
說明 DataWorks空間預設角色及自訂角色介紹,詳情請參見空間級許可權控制產品能力。 | |
授予RAM使用者全域角色 | DataWorks中預設阿里雲主帳號下所有RAM使用者均為其租戶成員,允許訪問但無法管理全域模組。如果您需要某RAM使用者管理全域模組,實現不同情境的許可權管控,則可授予其該許可權。例如:
說明 DataWorks全域預設角色及自訂角色介紹,詳情請參見全域級模組許可權控制。 |