全部產品
Search
文件中心

DataWorks:成員許可權管理

更新時間:Dec 05, 2024

DataWorks提供了完善的許可權管控機制,支援在產品級與模組層級對許可權進行管控,其中,模組層級許可權按照管控對象又分為DataWorks控制台和DataWorks功能模組許可權管控,您可以通過RAM Policy許可權體系管理產品級及DataWorks控制台的許可權;通過RBAC許可權模型管理DataWorks功能模組的使用許可權,本文為您詳細介紹DataWorks的許可權體系。

許可權管控體系介紹

DataWorks許可權體系按照管控粒度劃分如下:

許可權管控體系

策略類型

授權方式

作用於DataWorks範圍

相關文檔

RAM Policy許可權體系

通過為使用者(RAM使用者或Role)綁定某個權限原則,使其獲得權限原則中定義的存取權限。

  • 使用者:包含RAM使用者、RAM Role兩類。

  • 權限原則:包含內建系統策略及您自訂的策略。

  • 產品級:管理DataWorks、購買資源、開通DataWorks服務(開通標準版、專業版、企業版服務等)。

  • 模組層級:DataWorks管控台(管理工作空間,管理資源群組,管理警示連絡人)。

RAM Policy許可權體系

RBAC許可權模型

通過為某使用者(RAM使用者或Role)添加某個角色,這個使用者即可擁有此角色包含的DataWorks相關功能模組的使用許可權。

  • 使用者:包含RAM使用者、RAM Role兩類。

  • 角色:包含DataWorks空間級角色、DataWorks全域級角色兩類。

  • 許可權:包含DataWorks空間層級功能模組訪問和使用許可權、DataWorks全域層級功能模組訪問和管控許可權。

  • DataWorks全域級模組

  • DataWorks空間級模組

說明

本文為您介紹DataWorks許可權體系基本情況,您還可以參考最佳實務:為RAM使用者授權指引文檔,根據各細分情境進行使用者權限控制。

注意事項

阿里雲主帳號和擁有AdministratorAccess許可權的RAM使用者預設擁有較大許可權。

產品級許可權管控

DataWorks產品級權限原則控制通過RAM Policy權限原則實現,您可以為RAM使用者授予系統內建的策略,或您自訂的RAM權限原則,實現DataWorks管理與操作的許可權管控。

策略類型

操作類型

說明

相關文檔

RAM Policy許可權體系

允許的操作

您可以為RAM使用者授予平台提供的如下系統策略。

  • 管理DataWorks的許可權(AliyunDataWorksFullAccess):授予該許可權後,RAM使用者可代理主帳號管理產品相關內部功能(不包括購買相關功能)。

  • 允許RAM使用者購買資源、開通服務的許可權(AliyunBSSOrderAccess):授予該許可權後,RAM使用者可以在管理主控台進行購買資源與續約服務等操作。

產品級大範圍許可權管控:系統內建策略+自訂策略

禁止的操作

需要先自訂RAM權限原則再授權給指定RAM使用者,管控範圍包括:

  • 禁止RAM使用者操作DataWorks。

  • 禁止RAM使用者調用OpenAPI。

  • 禁止RAM使用者進入DataWorks產品內各模組介面。

模組層級:DataWorks管理主控台許可權管控

DataWorks管理主控台許可權通過RAM Policy權限原則實現,支援對所有在DataWorks管理主控台中執行的操作許可權進行管控。

策略類型

管控對象

相關操作

相關文檔

RAM Policy許可權體系

工作空間

工作空間列表頁面中建立空間、禁用空間、刪除空間等操作。

控制台細分許可權管控:自訂策略

獨享資源群組

資源群組列表頁面中的建立獨享資源群組、配置獨享資源群組網路等操作。

警示資訊

警示配置頁面的配置連絡人等操作。

模組層級:DataWorks功能模組使用許可權管控

DataWorks根據功能使用範圍分為全域級功能模組和空間級功能模組,並分別提供全域級角色、空間級角色對相應功能進行許可權管控。詳情請參見附錄1:全域級角色與空間級角色劃分。不同模組的使用許可權體系是基於RBAC(Role-based access control)許可權模型構建的。

策略類型

管控對象

許可權說明

相關文檔

RBAC(Role-based access control)許可權模型

空間級模組

  • 允許操作空間級模組的許可權:您可以為使用者(RAM使用者或Role)添加某個空間級角色,這個使用者即可擁有此角色包含的DataWorks相關功能模組的使用許可權。

  • 禁止使用者訪問某空間級模組的許可權:例如,禁止使用者進入資料開發執行相關開發操作。

說明

平台預設部分空間級角色,其擁有固定的功能點許可權,同時支援您自訂空間層級角色許可權。

空間級模組許可權管控

全域級模組

  • 允許操作全域級模組的許可權:您可以為使用者(RAM使用者或Role)添加某個全域級角色,這個使用者即可擁有此角色包含的DataWorks相關功能模組的使用許可權。

  • 禁止使用者訪問某全域級模組的許可權:例如,禁止使用者進入資料地圖、資料保護傘等全域級模組。

說明

平台預設部分全域級角色,同時支援您自訂全域角色控制某角色是否擁有某模組的讀寫權限。

全域級模組許可權控制

附錄1:全域級角色與空間級角色劃分

DataWorks為您預設了部分全域角色和空間級角色,您可以直接使用這些角色給使用者授權,也可以根據需要,自訂全域角色或空間級角色。使用者、角色、許可權之間的對應關係,如下圖所示。RBAC許可權模型

說明
  • 在所有角色中,僅“全域級角色”中的租用戶系統管理員角色擁有所有功能模組的使用許可權。

  • 阿里雲主帳號下所有RAM使用者均為被預設添加為租戶成員角色。

  • 如果租用戶系統管理員自訂了某個全域層級角色,並指定了該角色不具備某些全域級模組的使用許可權,則該自訂角色的許可權優先順序將高於租戶成員的許可權。

例如:某個主帳號下的RAM使用者(RAM使用者A),預設情況下為租戶成員角色,可訪問資料地圖功能頁面。當租用戶系統管理員自訂了某個角色,並指定該角色無資料地圖存取權限,並將RAM使用者A添加為該自訂角色後,RAM使用者A則無法訪問資料地圖功能頁面。

附錄2:如何區分“空間層級模組”和“全域層級模組”

從全部產品入口進入產品功能頁面後,如果頁面頂部有工作空間選擇框的話,那此模組就是“空間層級模組“,例如Data Integration資料開發等。DataStudio

從全部產品入口進入產品功能頁面後,如果頁面頂部沒有工作空間選擇框的話,那此模組就是”全域層級模組”,例如資料保護傘資料地圖等。資料地圖