DataWorks提供了完善的許可權管控機制,支援在產品級與模組層級對許可權進行管控,其中,模組層級許可權按照管控對象又分為DataWorks控制台和DataWorks功能模組許可權管控,您可以通過RAM Policy許可權體系管理產品級及DataWorks控制台的許可權;通過RBAC許可權模型管理DataWorks功能模組的使用許可權,本文為您詳細介紹DataWorks的許可權體系。
許可權管控體系介紹
DataWorks許可權體系按照管控粒度劃分如下:
策略類型 | 授權方式 | 作用於DataWorks範圍 | 相關文檔 |
RAM Policy許可權體系 | 通過為使用者(RAM使用者或Role)綁定某個權限原則,使其獲得權限原則中定義的存取權限。
|
| |
RBAC許可權模型 | 通過為某使用者(RAM使用者或Role)添加某個角色,這個使用者即可擁有此角色包含的DataWorks相關功能模組的使用許可權。
|
|
本文為您介紹DataWorks許可權體系基本情況,您還可以參考最佳實務:為RAM使用者授權指引文檔,根據各細分情境進行使用者權限控制。
注意事項
阿里雲主帳號和擁有AdministratorAccess許可權的RAM使用者預設擁有較大許可權。
產品級許可權管控
DataWorks產品級權限原則控制通過RAM Policy權限原則實現,您可以為RAM使用者授予系統內建的策略,或您自訂的RAM權限原則,實現DataWorks管理與操作的許可權管控。
策略類型 | 操作類型 | 說明 | 相關文檔 |
RAM Policy許可權體系 | 允許的操作 | 您可以為RAM使用者授予平台提供的如下系統策略。
| |
禁止的操作 | 需要先自訂RAM權限原則再授權給指定RAM使用者,管控範圍包括:
|
模組層級:DataWorks管理主控台許可權管控
DataWorks管理主控台許可權通過RAM Policy權限原則實現,支援對所有在DataWorks管理主控台中執行的操作許可權進行管控。
策略類型 | 管控對象 | 相關操作 | 相關文檔 |
RAM Policy許可權體系 | 工作空間 | 工作空間列表頁面中建立空間、禁用空間、刪除空間等操作。 | |
獨享資源群組 | 資源群組列表頁面中的建立獨享資源群組、配置獨享資源群組網路等操作。 | ||
警示資訊 | 警示配置頁面的配置連絡人等操作。 |
模組層級:DataWorks功能模組使用許可權管控
DataWorks根據功能使用範圍分為全域級功能模組和空間級功能模組,並分別提供全域級角色、空間級角色對相應功能進行許可權管控。詳情請參見附錄1:全域級角色與空間級角色劃分。不同模組的使用許可權體系是基於RBAC(Role-based access control)許可權模型構建的。
策略類型 | 管控對象 | 許可權說明 | 相關文檔 |
RBAC(Role-based access control)許可權模型 | 空間級模組 |
說明 平台預設部分空間級角色,其擁有固定的功能點許可權,同時支援您自訂空間層級角色許可權。 | |
全域級模組 |
說明 平台預設部分全域級角色,同時支援您自訂全域角色控制某角色是否擁有某模組的讀寫權限。 |
附錄1:全域級角色與空間級角色劃分
DataWorks為您預設了部分全域角色和空間級角色,您可以直接使用這些角色給使用者授權,也可以根據需要,自訂全域角色或空間級角色。使用者、角色、許可權之間的對應關係,如下圖所示。
在所有角色中,僅“全域級角色”中的租用戶系統管理員角色擁有所有功能模組的使用許可權。
阿里雲主帳號下所有RAM使用者均為被預設添加為租戶成員角色。
如果租用戶系統管理員自訂了某個全域層級角色,並指定了該角色不具備某些全域級模組的使用許可權,則該自訂角色的許可權優先順序將高於租戶成員的許可權。
例如:某個主帳號下的RAM使用者(RAM使用者A),預設情況下為租戶成員角色,可訪問資料地圖功能頁面。當租用戶系統管理員自訂了某個角色,並指定該角色無資料地圖存取權限,並將RAM使用者A添加為該自訂角色後,RAM使用者A則無法訪問資料地圖功能頁面。
附錄2:如何區分“空間層級模組”和“全域層級模組”
從全部產品入口進入產品功能頁面後,如果頁面頂部有工作空間選擇框的話,那此模組就是“空間層級模組“,例如Data Integration、資料開發等。
從全部產品入口進入產品功能頁面後,如果頁面頂部沒有工作空間選擇框的話,那此模組就是”全域層級模組”,例如資料保護傘、資料地圖等。