全部產品
Search
文件中心

DataWorks:空間級模組許可權管控

更新時間:Jun 25, 2024

DataWorks支援以工作空間為管控粒度,通過對使用者授予不同角色實現空間內各功能點的許可權控制。包括空間預設角色及空間級自訂角色,其中預設角色擁有固定的功能點許可權,空間級自訂角色可自行管控空間級模組的讀寫權限。本文為您介紹空間成員許可權管理的基本操作。

背景資訊

序號

內容

相關文檔

1

DataWorks工作空間為多角色協同開發的基本單元,所有開發工作都將在具體的工作空間內開展,若您需要RAM使用者(子帳號)協同開發,則需將RAM使用者加入工作空間並按照職能為該使用者指派空間角色。

DataWorks預設部分角色許可權。例如,被授予開發角色的使用者可進入工作空間進行資料開發,但將無法執行發佈動作。

附錄:預設角色許可權列表(空間級)

2

當DataWorks的預設角色無法滿足您的需求時,您可通過建立自訂空間級角色並授予RAM使用者該角色許可權,控制該使用者是否有某個空間級模組的許可權。例如,控制某個工作空間成員無法訪問資料服務模組。

空間級許可權控制產品能力

3

DataWorks空間級許可權控制基於RBAC(Role-based access control)許可權模型實現,將RAM使用者添加為某個DataWorks空間級角色後,該使用者即擁有此角色所包含的DataWorks相關功能模組的操作許可權。

DataWorks許可權體系功能概述

使用限制

  • 僅DataWorks企業版工作空間才可以添加自訂角色,詳情請參見DataWorks各版本詳解。您可以參考DataWorks版本服務計費說明,升級DataWorks工作空間至企業版。

  • 空間管理員角色和工作空間所有者,可以新增成員、修改成員角色、刪除成員及已建立的自訂角色

  • 僅支援使用阿里雲主帳號,或被授予MaxCompute專案admin、Superadmin角色的RAM使用者,配置自訂的DataWorks新角色與MaxCompute引擎的許可權映射關係。

  • 預設角色擁有的許可權點不支援修改。

空間級許可權控制產品能力

DataWorks的工作空間為您提供了成員及角色等身份,您可以針對不同使用者的工作空間使用需求,授予其相應的功能許可權角色。DataWorks提供預設工作空間層級角色,預設角色擁有固定的功能點許可權,當DataWorks的預設角色不能滿足您的需求時,您還可以通過角色管理自訂工作空間級角色。

空間級預設角色

DataWorks提供的空間預設角色預設擁有所有空間級模組的可讀許可權,但不同空間預設角色所擁有的空間層級模組的管理和操作許可權存在差異,具體如下表。

說明

工作空間所有者為阿里雲主帳號,RAM使用者(子帳號)僅可代主帳號建立工作空間。當前不支援給其他使用者授權為專案所有者。各預設角色的對DataWorks各個功能模組的許可權詳情請參見附錄:預設角色許可權列表(空間級)

角色

描述

專案所有者

工作空間所有者擁有工作空間的所有許可權,正常為阿里雲主帳號。例如,可以根據需求給RAM使用者授予相應角色、刪除本工作空間非專案所有者的成員等。

空間管理員

該角色擁有除專案所有者以外的空間最大許可權,還可以進行添加/移出工作空間成員並授予角色等操作。

資料分析師

僅具有資料分析模組的操作許可權。

開發

該角色負責資料開發和維護工作,即在資料開發模組進行節點的開發與維護。

說明
  • 如果需要進行資料開發,您需要授予RAM使用者開發或空間管理員角色許可權。

  • 如果需要擁有發布許可權,您需要授予RAM使用者營運或空間管理員角色許可權。

營運

該角色負責生產任務發布與營運,即在任務發布介面進行發布任務至生產環境的操作,在營運中心頁面管理全部任務的運行情況並進行相應處理。

部署

該角色僅在多工作空間模式時審核任務代碼並決定是否提交營運。

訪客

該角色僅有隻讀許可權,可以查看資料開發頁面的商務程序設計和代碼內容。

安全性系統管理員

該角色僅有資料保護傘模組的操作許可權。

模型設計師

該角色可以在智能建模查看模型,進行數倉規劃、資料標準、維度建模和資料指標等內容的編輯,但是不能發布模型。

資料治理管理員

該角色可以在資料治理中心模組中查看並管理該角色所屬空間的資料治理相關內容。

說明
  • 該角色不能通過全域視角查看當前地區所有空間下的治理情況,且無法針對全域的治理操作(例如全域允許啟用檢查項)進行管控。若要允許RAM使用者通過全域視角執行上述操作,請授予其租戶級資料治理管理員角色。

  • 空間級資料治理管理員角色具體支援的功能詳情,請參見資料治理

空間級自訂角色

DataWorks空間級自訂角色可控制自訂的角色是否有用某個空間級功能模組的許可權,DataWorks支援如下圖所示的空間級模組的讀寫權限控制。如果您當前使用的是MaxCompute引擎,您還可以通過配置引擎許可權映射使該角色擁有引擎資源的相關操作許可權。建立自訂角色的操作請參見建立自訂空間級角色空間級自訂

  • 無許可權:表示該角色無相應模組的查看許可權。

  • 唯讀:表示該角色只能查看相應模組的資料資訊,不能修改模組資料。

  • 讀寫:表示該角色可以修改相應模組的資料資訊。

增加空間成員並管理成員角色許可權

您可按職能授予RAM使用者(子帳號)空間級預設角色來控制其是否擁有某功能點許可權,由於RAM使用者加入空間成為空白間成員後預設可訪問空間級模組,若您不希望某使用者訪問某空間模組,您可通過授予該使用者空間級自訂角色禁止其訪問空間級指定模組。

step1:進入成員管理頁面

  1. 進入管理中心

  2. 工作空間頁面,單擊空間成員

step2:添加並管理工作空間成員

  1. 空間成員頁簽右上方單擊新增成員

  2. 新增成員對話方塊中的待添加帳號模組,勾選需要添加的成員帳號。

    添加角色

    操作

    說明

    選擇組織成員

    待添加帳號列表為您展示當前阿里雲主帳號下所有的RAM使用者,您可單擊>表徵圖,將需要添加的RAM使用者移動至當前工作空間成為空白間成員以便協同開發。

    說明

    如果列表中未找到目標RAM使用者,可單擊介面上方的重新整理按鈕進行重新整理。

    大量設定角色

    您可以在此處勾選RAM使用者需要關聯的角色,關聯後此使用者即擁有角色對應的許可權。您可以選擇授予成員空間層級預設角色,或者自訂角色。在授予DataWorks空間級自訂角色前,您需要先參考下文(建立自訂空間級角色)建立自訂角色後,才可以在此處為RAM使用者佈建角色。

    說明
    • 如果您當前使用的是MaxCompute引擎時,MaxCompute引擎預設預設了部分Role,並且與DataWorks空間級預設角色存在映射關係。DataWorks通過空間級預設角色與MaxCompute開發環境引擎Role映射關係,來讓被授予該空間預設角色的RAM使用者擁有該角色映射的開發引擎Role許可權,但預設無生產許可權。

    • 當使用其他引擎時,DataWorks空間成員獲得引擎許可權與被授予空間成員的操作無關。

  3. 單擊確定,完成添加工作空間成員。

    完成後,您可以在空間成員頁簽中查看當前DataWorks專案空間下,所有成員的帳號、角色等資訊,您可以通過篩選條件定位目標空間成員,並在角色列為該成員授予或刪除某個空間級預設角色或空間級自訂角色。還支援您單擊操作列的移除將目標使用者移出當前工作空間。

(可選)建立自訂空間級角色

工作空間預設角色許可權無法修改,如果預設角色不滿足許可權管控需求,您可以通過空間角色頁面自訂針對空間級功能的DataWorks角色。

  1. 空間角色頁簽單擊添加自訂角色

  2. 自訂角色名稱,並為自訂角色配置DataWorks不同空間層級模組的許可權。

    • 無許可權:表示該角色無相應模組的查看許可權。

    • 唯讀:表示該角色只能查看相應模組的資料資訊,不能修改模組資料。

    • 讀寫:表示該角色可以修改相應模組的資料資訊。

  3. 單擊配置引擎許可權映射下的添加,為自訂的DataWorks新角色配置與其他引擎許可權的映射關係,使該角色擁有對應引擎許可權。

    若您當前使用的為MaxCompute引擎,您也可以在建立DataWorks空間級自訂角色的同時,為該自訂角色映射MaxCompute引擎專案中的Role,讓被授予該自訂角色的成員可同時擁有該MaxCompute引擎Role中所擁有的許可權。引擎與DataWorks許可權的對應關係請參見附錄:空間級預設角色與MaxCompute引擎許可權的映射關係

  4. 單擊開始配置

    當介面提示建立成功時,您即成功完成自訂角色的建立,後續進行新增成員時,可將成員關聯此角色。同時,您可以在角色管理頁簽編輯或刪除自訂角色