DataWorks支持以全局模块为管控粒度,通过对用户授予不同的租户级角色实现全局模块的精细化权限控制。DataWorks为您预设部分租户角色,同时支持您自定义租户角色。本文为您介绍全局模块成员权限管理的基本操作。
背景信息
进入DataWorks功能模块界面后,当顶部菜单栏不显示DataWorks工作空间名称时,此模块为”全局级别模块”,例如数据地图。
针对此类模块,DataWorks为您提供了租户级角色等身份,您可按照职能为RAM用户分配租户角色。
DataWorks预设部分角色权限,例如,设定某租户角色拥有对全局模块数据地图类目管理的查看、管理权限。
当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义租户角色,控制某个租户角色是否有某个全局级模块的管理或访问权限。
例如,控制某个租户角色无法访问数据地图模块。详情请参见全局模块权限控制产品能力。
DataWorks全局模块权限控制基于RBAC(Role-based access control)权限模型实现,将某用户添加为某个DataWorks租户级角色后,该用户即可拥有此角色所包含的DataWorks相关功能模块的使用权限。详情请参见DataWorks权限体系功能概述。
使用限制
仅DataWorks企业版工作空间支持添加自定义租户角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。
仅阿里云主账号、租户管理员、授予AliyunDataWorksFullAccess权限的阿里云RAM用户、授予AdministratorAccess权限的阿里云RAM用户可管理租户成员角色。
全局模块权限控制产品能力
RAM子账号默认是DataWorks租户成员,租户成员默认可访问大部分租户级模块,但默认无法执行模块管理操作。您可以通过租户预设角色或者自定义租户角色,控制用户对某租户级模块的管理权限,同时也支持自定义租户角色管控指定全局模块的读写权限。
租户预设角色
DataWorks产品提供的租户级预设角色及各角色的权限详情如下表所示。
预设租户角色名称 | 权限详情说明 |
租户所有者 | 有DataWorks最高权限。默认为阿里云主账号,不可修改。
|
租户管理员 |
说明 不包含DataWorks管理控制台的管控及操作权限。管理控制台相关权限请参见产品及控制台权限控制详情:RAM Policy。 |
租户成员 | 当前阿里云主账号下所有RAM用户和角色均会默认为DataWorks租户成员。
|
安全管理员 |
|
合规管理员 |
|
开放平台管理员 | 开发者后台读写权限。 |
数据治理管理员 | 治理中心读写权限,租户级数据治理管理员可使用全局视角查看治理评估报告、治理项问题、检查项事件等,执行相应的整改操作。 说明 数据治理中心部分操作需要对应模块的角色及权限。详情请参见数据治理中心概述。 |
自定义租户角色 | 您可以通过自定义租户角色,控制用户对某租户级模块的管理权限。 |
租户自定义角色
DataWorks自定义租户级角色可控制某角色是否有权使用某个全局级功能模块,当前支持通过自定义租户角色来管控的全局功能模块如下所示。
可管控全局功能 | 可管控权限详情 |
数据保护伞 |
|
数据地图 |
说明 若要进行元数据访问权限控制,例如,不在数据地图展示某项目元数据、不展示某表、不允许非空间成员访问项目下的表等,请参见附录:数据地图权限管控能力总览。 |
数据综合治理 |
|
数据分析 |
|
审批中心 |
|
安全中心 |
|
管理租户成员角色权限
阿里云主账号下所有RAM用户默认为DataWorks租户成员,可访问全局模块,您可通过全局模块权限控制RAM用户可访问的全局模块或授予某RAM用户管理全局模块的权限。
step1:进入租户成员角色管理页面
在管理中心左侧导航栏,单击租户成员与角色。
step2:(可选)新建自定义租户角色
租户级预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过租户角色来自定义,指定此角色是否有用某个全局级功能的权限。
单击租户角色页面的添加自定义角色。
自定义角色名称,并为自定义角色配置不同全局级功能的权限。
单击开始配置。
说明当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联到此角色。
step3:授予并管理用户角色
进入租户成员页面。
在对应成员的角色列添加或删除租户角色,完成对成员的租户角色授权。