DataWorks支援以全域模組為管控粒度,通過對使用者授予不同的租戶級角色實現全域模組的精微調權限控制。DataWorks為您預設部分租戶角色,同時支援您自訂租戶角色。本文為您介紹全域模組成員許可權管理的基本操作。
背景資訊
進入DataWorks功能模組介面後,當頂部功能表列不顯示DataWorks工作空間名稱時,此模組為”全域層級模組”,例如資料地圖。
針對此類別模組,DataWorks為您提供了租戶級角色等身份,您可按照職能為RAM使用者指派租戶角色。
DataWorks預設部分角色許可權,例如,設定某租戶角色擁有對全域模組資料地圖類目管理的查看、系統管理權限。
當DataWorks的預設角色不能滿足您的需求時,您還可以通過建立自訂租戶角色,控制某個租戶角色是否有某個全域級模組的管理或存取權限。
例如,控制某個租戶角色無法訪問資料地圖模組。詳情請參見全域模組許可權控制產品能力。
DataWorks全域模組許可權控制基於RBAC(Role-based access control)許可權模型實現,將某使用者添加為某個DataWorks租戶級角色後,該使用者即可擁有此角色所包含的DataWorks相關功能模組的使用許可權。詳情請參見DataWorks許可權體系功能概述。
使用限制
僅DataWorks企業版工作空間支援添加自訂租戶角色,詳情請參見DataWorks各版本詳解。您可以參考DataWorks版本服務計費說明,升級DataWorks工作空間至企業版。
僅阿里雲主帳號、租用戶系統管理員、授予AliyunDataWorksFullAccess許可權的阿里雲RAM使用者、授予AdministratorAccess許可權的阿里雲RAM使用者可管理租戶成員角色。
全域模組許可權控制產品能力
RAM子帳號預設是DataWorks租戶成員,租戶成員預設可訪問大部分租戶級模組,但預設無法執行模組管理操作。您可以通過租戶預設角色或者自訂租戶角色,控制使用者對某租戶級模組的系統管理權限,同時也支援自訂租戶角色管控指定全域模組的讀寫權限。
租戶預設角色
DataWorks產品提供的租戶級預設角色及各角色的許可權詳情如下表所示。
預設租戶角色名稱 | 許可權詳情說明 |
租戶所有者 | 有DataWorks最高許可權。預設為阿里雲主帳號,不可修改。
|
租用戶系統管理員 |
說明 不包含DataWorks管理主控台的管控及操作許可權。管理主控台相關許可權請參見產品及控制台許可權控制詳情:RAM Policy。 |
租戶成員 | 當前阿里雲主帳號下所有RAM使用者和角色均會預設為DataWorks租戶成員。
|
安全性系統管理員 |
|
合規管理員 |
|
開放平台管理員 | 開發人員後台讀寫權限。 |
資料治理管理員 | 治理中心讀寫權限,租戶級資料治理管理員可使用全域視角查看治理評估報告、治理項問題、檢查項事件等,執行相應的整改操作。 說明 資料治理中心部分操作需要對應模組的角色及許可權。詳情請參見資料治理中心概述。 |
自訂租戶角色 | 您可以通過自訂租戶角色,控制使用者對某租戶級模組的系統管理權限。 |
租戶自訂角色
DataWorks自訂租戶級角色可控制某角色是否有權使用某個全域級功能模組,當前支援通過自訂租戶角色來管控的全域功能模組如下所示。
可管控全域功能 | 可管控許可權詳情 |
資料保護傘 |
|
資料地圖 |
說明 若要進行中繼資料存取權限控制,例如,不在資料地圖展示某專案中繼資料、不展示某表、不允許非空間成員訪問專案下的表等,請參見附錄:資料地圖許可權管控能力總覽。 |
資料綜合治理 |
|
資料分析 |
|
核准中心 |
|
資訊安全中心 |
|
管理租戶成員角色許可權
阿里雲主帳號下所有RAM使用者預設為DataWorks租戶成員,可訪問全域模組,您可通過全域模組許可權控制RAM使用者可訪問的全域模組或授予某RAM使用者管理全域模組的許可權。
step1:進入租戶成員角色管理頁面
在管理中心左側導覽列,單擊租戶成員與角色。
step2:(可選)建立自訂租戶角色
租戶級預設角色許可權無法修改,如果預設角色不滿足許可權管控需求,您可以通過租戶角色來自訂,指定此角色是否有用某個全域級功能的許可權。
單擊租戶角色頁面的添加自訂角色。
自訂角色名稱,並為自訂角色配置不同全域級功能的許可權。
單擊開始配置。
說明當介面提示建立成功時,您即成功完成自訂角色的建立,後續進行新增成員時,可將成員關聯到此角色。
step3:授予並系統管理使用者角色
進入租戶成員頁面。
在對應成員的角色列添加或刪除租戶角色,完成對成員的租戶角色授權。