當需要RAM用戶(子賬號)使用DataWorks時,您可基于不同使用場景為其分配權限,進行相關權限管控。本文為您介紹不同使用場景的授權指引。
背景信息
DataWorks在產品管控、功能使用等方面提供了完善的權限管控體系,根據功能使用范圍分為全局級功能模塊和空間級功能模塊,并分別提供全局級角色、空間級角色對相應功能進行權限管控。您可通過RAM Policy權限體系控制DataWorks產品管控權限,通過RBAC權限模型控制產品模塊權限。
本文基于授權維度,為您介紹DataWorks各使用場景下的授權。您可通過管控權限、全局模塊權限管控產品、空間模塊權限管控產品,進一步了解DataWorks權限管控體系。
權限管控體系介紹
根據授權的操作類別、權限體系類型等不同維度,RAM用戶權限管控劃分如下圖。
如果希望用戶進行全局操作,可授予粗粒度的產品級權限;如果希望用戶僅操作某模塊,或管理控制臺及資源組,可授予細粒度的模塊級權限。
RAM用戶所有權限策略中禁止類操作(Deny)權限策略優先。
本文基于權限管控的授權類型,為您介紹RAM用戶權限管控詳情,具體請參見:
產品級:DataWorks管理與操作權限管控
產品級的DataWorks管理與操作權限管控,需通過訪問控制的RAM權限策略實現,具體如下。
權限類別 | 權限說明 | 操作流程 | 操作參考文檔 |
允許RAM用戶管理DataWorks服務 | DataWorks中默認僅阿里云主賬號擁有管理DataWorks服務的權限,如果您需要某RAM用戶協同管理DataWorks服務,則可授予其該權限。 說明 設置該權限后,RAM用戶將擁有DataWorks較大的權限,可代理主賬號管理產品相關內部功能(不包括購買相關功能)。 |
| |
允許RAM用戶購買資源、開通服務 | DataWorks中默認僅阿里云主賬號可購買資源、開通服務(例如,購買DataWorks標準版、專業版、企業版),如果您需要某RAM用戶可執行該操作,則可授予其該權限。 說明 授權后,RAM用戶可在費用中心(BSS)查看、支付及取消訂單。 |
| |
禁止RAM用戶操作DataWorks | 如果您需要禁止某用戶進入管理控制臺、進入DataWorks各模塊界面、調用OpenAPI,則可授予其該權限。 說明 DataWorks中默認阿里云主賬號下所有RAM用戶均為DataWorks的租戶成員,并允許訪問DataWorks管理控制臺。 |
| |
禁止RAM用戶調用OpenAPI | DataWorks中默認具有DataWorks某模塊權限的用戶可調用相應模塊對應的OpenAPI。如果您需要禁止某用戶調用所有OpenAPI,則可授予其該權限。 |
| |
禁止RAM用戶進入DataWorks的各模塊界面 | 如果您需要禁止某用戶進入DataWorks的所有模塊界面,則可授予其該權限。 說明
|
|
模塊級:DataWorks管理控制臺權限管控
模塊級的DataWorks管理控制臺權限管控,需通過訪問控制的RAM權限策略實現,具體如下。
權限類別 | 權限說明 | 操作流程說明 | 參考文檔 |
允許RAM用戶管理工作空間及資源組 | DataWorks中默認僅阿里云主賬號可管理DataWorks資源及工作空間。例如,修改資源組及工作空間配置、刪除資源組。 如果您需要某RAM用戶可管理資源組及工作空間,則可授予其該權限。 |
|
模塊級:DataWorks不同模塊權限管控
模塊級的DataWorks各模塊權限管控,需通過DataWorks工作空間的成員管理實現,具體如下表。
權限類別 | 權限說明 | 操作流程 |
授予RAM用戶空間角色 | RAM用戶需要加入某工作空間成為空間成員后,才可進行相關開發操作。您可通過授予RAM用戶不同的空間角色,實現不同模塊界面功能的權限管控。例如:
說明 DataWorks空間預設角色及自定義角色介紹,詳情請參見空間級權限控制產品能力。 | |
授予RAM用戶全局角色 | DataWorks中默認阿里云主賬號下所有RAM用戶均為其租戶成員,允許訪問但無法管理全局模塊。如果您需要某RAM用戶管理全局模塊,實現不同場景的權限管控,則可授予其該權限。例如:
說明 DataWorks全局預設角色及自定義角色介紹,詳情請參見全局級模塊權限控制。 |