DataWorks產品級許可權控制和管理主控台許可權控制都是通過阿里雲RAM Policy實現,即為使用者(RAM使用者或Role)綁定某個權限原則,使其獲得權限原則中定義的存取權限。本文為您詳細介紹產品及控制台許可權管控支援情況、主帳號如何為使用者授予DataWorks管控的相關權限原則。
產品級大範圍許可權管控:系統內建策略+自訂策略
DataWorks預設僅阿里雲主帳號擁有產品級管控許可權,如果您需要某個RAM使用者代為管理時,可為RAM使用者授予以下系統權限原則,RAM使用者就會擁有阿里雲主帳號的所有操作許可權。
權限類別 | 管控範圍 | 許可權名稱 | 描述 | 操作參考文檔 |
允許RAM使用者執行的操作(系統策略) | 管理DataWorks服務的許可權 | AliyunDataWorksFullAccess | 設定該許可權後,RAM使用者將擁有DataWorks較大的許可權,可代理主帳號管理產品相關內部功能(不包括購買相關功能)。 | 給RAM使用者授權的操作步驟請參見為RAM使用者授權。 |
購買資源的許可權 | AliyunBSSOrderAccess | 授權後,RAM使用者可在費用中心(BSS)查看、支付及取消訂單。 授予該許可權後,RAM使用者可以在管理主控台進行購買資源與續約服務等操作。 | ||
禁止RAM使用者執行的操作(自訂策略) | 禁止RAM使用者操作DataWorks(細粒度) | 自訂 | 禁止某使用者進入管理主控台、進入DataWorks各模組介面、調用OpenAPI。 | 先參考產品級管控權限原則定義權限原則內容。然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的建立自訂策略(可選)。 |
禁止RAM使用者調用OpenAPI(細粒度) | DataWorks中預設具有DataWorks某模組許可權的使用者可調用相應模組對應的OpenAPI。如果您需要禁止某使用者調用所有OpenAPI,則可授予使用者該許可權。 | |||
禁止RAM使用者進入DataWorks的各模組介面(細粒度) | DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,允許訪問全域模組,並且可訪問已加入工作空間的空間模組。 您可根據需要禁止某使用者進入DataWorks的所有模組介面。 |
控制台細分許可權管控:自訂策略
DataWorks支援對以下實體物件的相關操作實現細粒度許可權控制:
對象 | 相關操作 | 操作參考文檔 |
工作空間 |
| 進行管控台細分許可權的授權時,您需要首先參考控制台實體物件級許可權管控策略來自訂權限原則,然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的為RAM使用者授權。 |
資源群組 |
| |
警示資訊 |
|
為RAM使用者授權
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
在添加許可權面板,為RAM使用者添加許可權。
支援授權系統策略與自訂策略,授予自訂策略的時候,您需要先建立自訂策略後才可以在此處為RAM使用者授權。可授權的系統策略和自訂策略請參見產品級大範圍許可權管控:系統內建策略+自訂策略。
說明參數配置詳情請參見為RAM使用者授權。
建立自訂策略(可選)
如果您希望通過細分的RAM Policy來做細粒度的許可權管控,您需要根據實際需要先完成創新權限原則,如果您使用內建策略進行大範圍的授權則無需進行此步驟。
您可使用阿里雲主帳號在存取控制建立自訂權限原則,操作詳情請參見建立自訂權限原則。
自訂產品級管控權限原則,可根據產品級管控權限原則定義權限原則內容。
自訂控制台實體物件級權限原則,可根據下文說明進行配置:
策略配置項
說明
Action
根據控制台實體物件級許可權管控策略內容中對應管控項的Action配置自訂策略中的Action。配置格式如上圖所示。
Resource
根據控制台實體物件級許可權管控策略內容中對應管控項的Resource配置自訂策略中的Resource。配置格式如上圖所示。
說明Resource說明:
實際自訂策略時,您需要將下表中Resource中預留位置
$
表示的內容替換為真實ID值。例如,$regionid
需要替換為真實的地區ID值、$accountid
需要替換為阿里雲主帳號的UID。*
為萬用字元,實際使用時您可以替換為具體的參數值,用來做進一步許可權管控範圍的細化。例如,將workspace/*
替換為workspace/workspaceid
則表明權限原則生效的範圍為指定的這個工作空間內。