DataWorks支援以全域模組為管控粒度,通過對使用者授予不同的租戶級角色實現全域模組的精微調權限控制。DataWorks為您預設部分租戶角色,同時支援您自訂租戶角色。本文為您介紹全域模組成員許可權管理的基本操作。
背景資訊
進入DataWorks功能模組介面後,當頂部功能表列不顯示DataWorks工作空間名稱時,此模組為”全域層級模組”,例如資料地圖。
針對此類別模組,DataWorks為您提供了租戶級角色等身份,您可按照職能為RAM使用者指派租戶角色。
DataWorks預設部分角色許可權,例如,控制某使用者是否有全域模組資料地圖的類目系統管理權限管控。
當DataWorks的預設角色不能滿足您的需求時,您還可以通過建立自訂租戶角色,控制某個租戶角色是否有某個全域級模組的管理或存取權限。
例如,控制某個成員無法訪問資料地圖模組。詳情請參見全域模組許可權控制產品能力。
DataWorks全域模組許可權控制基於RBAC(Role-based access control)許可權模型實現,將某使用者添加為某個DataWorks租戶級角色後,該使用者即可擁有此角色所包含的DataWorks相關功能模組的使用許可權。詳情請參見DataWorks許可權體系功能概述。
使用限制
僅DataWorks企業版工作空間才可以添加自訂租戶角色,詳情請參見DataWorks各版本詳解。您可以參考DataWorks版本服務計費說明,升級DataWorks工作空間至企業版。
僅阿里雲主帳號、租用戶系統管理員、授予AliyunDataWorksFullAccess許可權的阿里雲RAM使用者、授予AdministratorAccess許可權的阿里雲RAM使用者可管理租戶成員角色。
全域模組許可權控制產品能力
租戶成員與角色管理提供租戶預設角色,預設角色可控制指定模組的相關功能,同時支援您自訂租戶角色管控指定全域模組的讀寫權限。
租戶預設角色
DataWorks產品提供的租戶級預設角色及各角色的許可權詳情如下表所示。
預設租戶角色 | 作用全域模組 | 許可權詳情 |
租用戶系統管理員 | DataWorks所有全域模組 | DataWorks產品最高許可權管理員,可以操作DataWorks產品內所有全域模組,並可分配租戶成員角色。 說明 不包含阿里雲DataWorks管理主控台的管控操作許可權,管控許可權詳情請參見產品及控制台許可權控制詳情:RAM Policy。 |
租戶成員 | DataWorks所有全域模組 | 當RAM使用者帳號被加入某個工作空間後,將預設為租戶成員角色,可訪問所有全域模組。 說明 當前阿里雲主帳號下所有RAM使用者預設為DataWorks租戶成員。 |
安全性系統管理員 | 資訊安全中心、核准中心、資料保護傘 |
|
合規管理員 | 資訊安全中心 | 資訊安全中心的資料跨境風險檢測許可權、資料跨境自評估申請審批許可權 |
開放平台管理員 | 開放平台 | 開發人員後台讀寫權限 |
資料治理管理員 | 資料治理中心 | 治理中心讀寫權限,租戶級資料治理管理員可使用全域視角查看治理評估報告、治理項問題、檢查項事件等,執行相應的整改操作。 說明 資料治理中心部分操作需要對應模組的角色及許可權的判斷。詳情請參見資料治理中心概述。 |
租戶自訂角色
DataWorks自訂租戶級角色可控制某角色是否有用某個全域級功能模組的許可權,當前支援通過自訂租戶角色來管控的全域功能模組如下所示。
可管控全域功能 | 可管控許可權詳情 |
資料保護傘 |
|
資料地圖 |
說明 若要進行中繼資料存取權限控制,例如,不在資料地圖展示某專案中繼資料、不展示某表、不允許非空間成員訪問專案下的表等,請參見附錄:資料地圖許可權管控能力總覽。 |
資料綜合治理 |
|
資料分析 |
|
核准中心 |
|
資訊安全中心 |
|
管理租戶成員角色許可權
阿里雲主帳號下所有RAM使用者預設為DataWorks租戶成員,可訪問全域模組,您可通過全域模組許可權控制RAM使用者可訪問的全域模組或授予某RAM使用者管理全域模組的許可權。
step1:進入租戶成員角色管理頁面
在管理中心左側導覽列,單擊租戶成員與角色。
step2:(可選)建立及管理自訂租戶級角色
租戶級預設角色許可權無法修改,如果預設角色不滿足許可權管控需求,您可以通過租戶角色來自訂,指定此角色是否有用某個全域級功能的許可權。
單擊租戶角色頁面的添加自訂角色。
自訂角色名稱,並為自訂角色配置不同全域級功能的許可權。
單擊開始配置。
當介面提示建立成功時,您即成功完成自訂角色的建立,後續進行新增成員時,可將成員關聯此角色。
step3:授予並系統管理使用者角色
進入租戶成員頁面。
在對應成員的角色列添加或刪除租戶角色,完成對成員的租戶角色授權。
說明當RAM使用者帳號被加入某個工作空間後,將預設為租戶成員角色,可訪問所有全域模組。