全部產品
Search
文件中心

DataWorks:產品及控制台許可權控制詳情:RAM Policy

更新時間:Jun 19, 2024

DataWorks產品級許可權控制管理主控台許可權控制都是通過阿里雲RAM Policy實現,即為使用者(RAM使用者或Role)綁定某個權限原則,使其獲得權限原則中定義的存取權限。本文為您詳細介紹產品及控制台許可權管控支援情況、主帳號如何為使用者授予DataWorks管控的相關權限原則。

產品級大範圍許可權管控:系統內建策略+自訂策略

DataWorks預設僅阿里雲主帳號擁有產品級管控許可權,如果您需要某個RAM使用者代為管理時,可為RAM使用者授予以下系統權限原則,RAM使用者就會擁有阿里雲主帳號的所有操作許可權。

權限類別

管控範圍

許可權名稱

描述

操作參考文檔

允許RAM使用者執行的操作(系統策略)

管理DataWorks服務的許可權

AliyunDataWorksFullAccess

設定該許可權後,RAM使用者將擁有DataWorks較大的許可權,可代理主帳號管理產品相關內部功能(不包括購買相關功能)。

給RAM使用者授權的操作步驟請參見為RAM使用者授權

購買資源的許可權

AliyunBSSOrderAccess

授權後,RAM使用者可在費用中心(BSS)查看、支付及取消訂單。

授予該許可權後,RAM使用者可以在管理主控台進行購買資源與續約服務等操作。

禁止RAM使用者執行的操作(自訂策略)

禁止RAM使用者操作DataWorks(細粒度)

自訂

禁止某使用者進入管理主控台、進入DataWorks各模組介面、調用OpenAPI。

先參考產品級管控權限原則定義權限原則內容。然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的建立自訂策略(可選)

禁止RAM使用者調用OpenAPI(細粒度)

DataWorks中預設具有DataWorks某模組許可權的使用者可調用相應模組對應的OpenAPI。如果您需要禁止某使用者調用所有OpenAPI,則可授予使用者該許可權。

禁止RAM使用者進入DataWorks的各模組介面(細粒度)

DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,允許訪問全域模組,並且可訪問已加入工作空間的空間模組。

您可根據需要禁止某使用者進入DataWorks的所有模組介面。

控制台細分許可權管控:自訂策略

DataWorks支援對以下實體物件的相關操作實現細粒度許可權控制:

對象

相關操作

操作參考文檔

工作空間

  • 建立工作空間

  • 修改工作空間

  • 刪除工作空間

  • 禁用工作空間

  • 啟用工作空間

進行管控台細分許可權的授權時,您需要首先參考控制台實體物件級許可權管控策略來自訂權限原則,然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的為RAM使用者授權

資源群組

  • 展示獨享資源群組

  • 根據資源群組名稱展示資源群組詳情

  • 建立獨享資源群組

  • 修改獨享資源群組

警示資訊

  • 列出連絡人

  • 修改連絡人資訊

  • 列出警示資源

  • 設定警示數上限

為RAM使用者授權

  1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

  4. 添加許可權面板,為RAM使用者添加許可權。

    支援授權系統策略與自訂策略,授予自訂策略的時候,您需要先建立自訂策略後才可以在此處為RAM使用者授權。可授權的系統策略和自訂策略請參見產品級大範圍許可權管控:系統內建策略+自訂策略

    說明

    參數配置詳情請參見為RAM使用者授權

建立自訂策略(可選)

如果您希望通過細分的RAM Policy來做細粒度的許可權管控,您需要根據實際需要先完成創新權限原則,如果您使用內建策略進行大範圍的授權則無需進行此步驟。

您可使用阿里雲主帳號在存取控制建立自訂權限原則,操作詳情請參見建立自訂權限原則

  • 自訂產品級管控權限原則,可根據產品級管控權限原則定義權限原則內容。

  • 自訂控制台實體物件級權限原則,可根據下文說明進行配置:自訂角色

    策略配置項

    說明

    Action

    根據控制台實體物件級許可權管控策略內容中對應管控項的Action配置自訂策略中的Action。配置格式如上圖所示。

    Resource

    根據控制台實體物件級許可權管控策略內容中對應管控項的Resource配置自訂策略中的Resource。配置格式如上圖所示。

    說明

    Resource說明:

    • 實際自訂策略時,您需要將下表中Resource中預留位置$表示的內容替換為真實ID值。例如,$regionid需要替換為真實的地區ID值、$accountid需要替換為阿里雲主帳號的UID。

    • *為萬用字元,實際使用時您可以替換為具體的參數值,用來做進一步許可權管控範圍的細化。例如,將workspace/*替換為workspace/workspaceid則表明權限原則生效的範圍為指定的這個工作空間內。