DataWorks產品級權限控制和管理控制臺權限控制都是通過阿里云RAM Policy實現,即為用戶(RAM用戶或Role)綁定某個權限策略,使其獲得權限策略中定義的訪問權限。本文為您詳細介紹產品及控制臺權限管控支持情況、主賬號如何為用戶授予DataWorks管控的相關權限策略。
產品級大范圍權限管控:系統內置策略+自定義策略
DataWorks默認僅阿里云主賬號擁有產品級管控權限,如果您需要某個RAM用戶代為管理時,可為RAM用戶授予以下系統權限策略,RAM用戶就會擁有阿里云主賬號的所有操作權限。
權限類別 | 管控范圍 | 權限名稱 | 描述 | 操作參考文檔 |
允許RAM用戶執行的操作(系統策略) | 管理DataWorks服務的權限 | AliyunDataWorksFullAccess | 設置該權限后,RAM用戶將擁有DataWorks較大的權限,可代理主賬號管理產品相關內部功能(不包括購買相關功能)。 | 給RAM用戶授權的操作步驟請參見為RAM用戶授權。 |
購買資源的權限 | AliyunBSSOrderAccess | 授權后,RAM用戶可在費用中心(BSS)查看、支付及取消訂單。 授予該權限后,RAM用戶可以在管理控制臺進行購買資源與續費服務等操作。 | ||
禁止RAM用戶執行的操作(自定義策略) | 禁止RAM用戶操作DataWorks(細粒度) | 自定義 | 禁止某用戶進入管理控制臺、進入DataWorks各模塊界面、調用OpenAPI。 | 先參考產品級管控權限策略定義權限策略內容。然后給RAM用戶綁定自定義的權限策略進行授權操作,操作步驟請參見下文的創建自定義策略(可選)。 |
禁止RAM用戶調用OpenAPI(細粒度) | DataWorks中默認具有DataWorks某模塊權限的用戶可調用相應模塊對應的OpenAPI。如果您需要禁止某用戶調用所有OpenAPI,則可授予用戶該權限。 | |||
禁止RAM用戶進入DataWorks的各模塊界面(細粒度) | DataWorks中默認阿里云主賬號下所有RAM用戶均為DataWorks的租戶成員,允許訪問全局模塊,并且可訪問已加入工作空間的空間模塊。 您可根據需要禁止某用戶進入DataWorks的所有模塊界面。 |
控制臺細分權限管控:自定義策略
DataWorks支持對以下實體對象的相關操作實現細粒度權限控制:
對象 | 相關操作 | 操作參考文檔 |
工作空間 |
| 進行管控臺細分權限的授權時,您需要首先參考控制臺實體對象級權限管控策略來自定義權限策略,然后給RAM用戶綁定自定義的權限策略進行授權操作,操作步驟請參見下文的為RAM用戶授權。 |
資源組 |
| |
報警信息 |
|
為RAM用戶授權
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在添加權限面板,為RAM用戶添加權限。
支持授權系統策略與自定義策略,授予自定義策略的時候,您需要先創建自定義策略后才可以在此處為RAM用戶授權。可授權的系統策略和自定義策略請參見產品級大范圍權限管控:系統內置策略+自定義策略。
說明參數配置詳情請參見為RAM用戶授權。
創建自定義策略(可選)
如果您希望通過細分的RAM Policy來做細粒度的權限管控,您需要根據實際需要先完成創新權限策略,如果您使用內置策略進行大范圍的授權則無需進行此步驟。
您可使用阿里云主賬號在訪問控制新建自定義權限策略,操作詳情請參見創建自定義權限策略。
自定義產品級管控權限策略,可根據產品級管控權限策略定義權限策略內容。
自定義控制臺實體對象級權限策略,可根據下文說明進行配置:
策略配置項
說明
Action
根據控制臺實體對象級權限管控策略內容中對應管控項的Action配置自定義策略中的Action。配置格式如上圖所示。
Resource
根據控制臺實體對象級權限管控策略內容中對應管控項的Resource配置自定義策略中的Resource。配置格式如上圖所示。
說明Resource說明:
實際自定義策略時,您需要將下表中Resource中占位符
$表示的內容替換為真實ID值。例如,$regionid需要替換為真實的地域ID值、$accountid需要替換為阿里云主賬號的UID。*為通配符,實際使用時您可以替換為具體的參數值,用來做進一步權限管控范圍的細化。例如,將workspace/*替換為workspace/workspaceid則表明權限策略生效的范圍為指定的這個工作空間內。