全部产品
Search
文档中心

大数据开发治理平台 DataWorks:全局级模块权限控制

更新时间:Dec 06, 2024

DataWorks支持以全局模块为管控粒度,通过对用户授予不同的租户级角色实现全局模块的精细化权限控制。DataWorks为您预设部分租户角色,同时支持您自定义租户角色。本文为您介绍全局模块成员权限管理的基本操作。

背景信息

进入DataWorks功能模块界面后,当顶部菜单栏不显示DataWorks工作空间名称时,此模块为”全局级别模块”,例如数据地图

  • 针对此类模块,DataWorks为您提供了租户级角色等身份,您可按照职能为RAM用户分配租户角色。

    DataWorks预设部分角色权限,例如,设定某租户角色拥有对全局模块数据地图类目管理的查看、管理权限。

  • 当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义租户角色,控制某个租户角色是否有某个全局级模块的管理或访问权限。

    例如,控制某个租户角色无法访问数据地图模块。详情请参见全局模块权限控制产品能力

DataWorks全局模块权限控制基于RBAC(Role-based access control)权限模型实现,将某用户添加为某个DataWorks租户级角色后,该用户即可拥有此角色所包含的DataWorks相关功能模块的使用权限。详情请参见DataWorks权限体系功能概述

使用限制

  • 仅DataWorks企业版工作空间支持添加自定义租户角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。

  • 仅阿里云主账号、租户管理员、授予AliyunDataWorksFullAccess权限的阿里云RAM用户、授予AdministratorAccess权限的阿里云RAM用户可管理租户成员角色。

全局模块权限控制产品能力

RAM子账号默认是DataWorks租户成员,租户成员默认可访问大部分租户级模块,但默认无法执行模块管理操作。您可以通过租户预设角色或者自定义租户角色,控制用户对某租户级模块的管理权限,同时也支持自定义租户角色管控指定全局模块的读写权限。

租户预设角色

DataWorks产品提供的租户级预设角色及各角色的权限详情如下表所示。

预设租户角色名称

权限详情说明

租户所有者

有DataWorks最高权限。默认为阿里云主账号,不可修改。

  • DataWorks产品最高权限管理员,可预设控制租户成员角色权限分配。

  • 可查看、读写及管理DataWorks产品内所有全局模块。

租户管理员

  • 拥有租户级模块最高权限,可预设控制租户成员角色权限分配。

  • 可查看、读写及管理DataWorks产品内所有全局模块。

说明

不包含DataWorks管理控制台的管控及操作权限。管理控制台相关权限请参见产品及控制台权限控制详情:RAM Policy

租户成员

当前阿里云主账号下所有RAM用户和角色均会默认为DataWorks租户成员。

  • 可查看、读写租户级别模块。

  • 默认无法执行模块管理操作。

安全管理员

  • 安全中心所有权限(查看、读写及管理)。

  • 审批中心的自定义审批策略权限。

  • 数据保护伞所有权限(查看、读写及管理)。

合规管理员

  • 安全中心的数据跨境风险检测权限。

  • 数据跨境自评估申请审批权限。

开放平台管理员

开发者后台读写权限。

数据治理管理员

治理中心读写权限,租户级数据治理管理员可使用全局视角查看治理评估报告、治理项问题、检查项事件等,执行相应的整改操作。

说明

数据治理中心部分操作需要对应模块的角色及权限。详情请参见数据治理中心概述

自定义租户角色

您可以通过自定义租户角色,控制用户对某租户级模块的管理权限。

租户自定义角色

DataWorks自定义租户级角色可控制某角色是否有权使用某个全局级功能模块,当前支持通过自定义租户角色来管控的全局功能模块如下所示。

可管控全局功能

可管控权限详情

数据保护伞

  • 无权限:是否可访问数据保护伞模块。

  • 可使用:全部只读、全部可操作。

数据地图

  • 无权限:是否可访问数据地图模块。

  • 可使用:普通使用权限。

说明

若要进行元数据访问权限控制,例如,不在数据地图展示某项目元数据、不展示某表、不允许非空间成员访问项目下的表等,请参见附录:数据地图权限管控能力总览

数据综合治理

  • 无权限:是否可访问数据综合治理模块。

  • 可使用:普通使用权限、数据治理管理。

数据分析

  • 无权限:是否可访问数据分析模块。

  • 可使用:普通使用权限。

审批中心

  • 无权限:是否可访问审批中心模块。

  • 可使用:普通使用权限、管理审批流程。

安全中心

  • 无权限:是否可访问安全中心模块。

  • 可使用:普通使用权限。

管理租户成员角色权限

阿里云主账号下所有RAM用户默认为DataWorks租户成员,可访问全局模块,您可通过全局模块权限控制RAM用户可访问的全局模块或授予某RAM用户管理全局模块的权限。

step1:进入租户成员角色管理页面

  1. 进入管理中心

  2. 管理中心左侧导航栏,单击租户成员与角色

step2:(可选)新建自定义租户角色

租户级预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过租户角色来自定义,指定此角色是否有用某个全局级功能的权限。

  1. 单击租户角色页面的添加自定义角色

  2. 自定义角色名称,并为自定义角色配置不同全局级功能的权限。

  3. 单击开始配置

    说明

    当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联到此角色。

step3:授予并管理用户角色

  1. 进入租户成员页面。

  2. 在对应成员的角色列添加或删除租户角色,完成对成员的租户角色授权。