空間級模塊權(quán)限管控
DataWorks支持以工作空間為管控粒度,通過對用戶授予不同角色實現(xiàn)空間內(nèi)各功能點的權(quán)限控制。包括空間預(yù)設(shè)角色及空間級自定義角色,其中預(yù)設(shè)角色擁有固定的功能點權(quán)限,空間級自定義角色可自行管控空間級模塊的讀寫權(quán)限。本文為您介紹空間成員權(quán)限管理的基本操作。
背景信息
DataWorks標準版沒有成員限制,添加團隊成員方式是根據(jù)RAM用戶身份來授權(quán)的,用戶可以在空間模塊授權(quán)RAM用戶,RAM用戶即可進入到DataWorks參與開發(fā)。
序號 | 內(nèi)容 | 相關(guān)文檔 |
1 | DataWorks工作空間為多角色協(xié)同開發(fā)的基本單元,所有開發(fā)工作都將在具體的工作空間內(nèi)開展,若您需要RAM用戶(子賬號)協(xié)同開發(fā),則需將RAM用戶加入工作空間并按照職能為該用戶分配空間角色。 DataWorks預(yù)設(shè)部分角色權(quán)限。例如,被授予開發(fā)角色的用戶可進入工作空間進行數(shù)據(jù)開發(fā),但將無法執(zhí)行發(fā)布操作。 | |
2 | 當DataWorks的預(yù)設(shè)角色無法滿足您的需求時,您可通過創(chuàng)建自定義空間級角色并授予RAM用戶該角色權(quán)限,控制該用戶是否有某個空間級模塊的權(quán)限。例如,控制某個工作空間成員無法訪問數(shù)據(jù)服務(wù)模塊。 | |
3 | DataWorks空間級權(quán)限控制基于RBAC(Role-based access control)權(quán)限模型實現(xiàn),將RAM用戶添加為某個DataWorks空間級角色后,該用戶即擁有此角色所包含的DataWorks相關(guān)功能模塊的操作權(quán)限。 |
使用限制
僅DataWorks企業(yè)版工作空間才可以添加自定義角色,詳情請參見DataWorks各版本詳解。您可以參考DataWorks版本服務(wù)計費說明,升級DataWorks工作空間至企業(yè)版。
說明在升級DataWorks工作空間時,若您需要調(diào)整使用周期,建議先退訂當前版本,然后購買所需的升級版本。若直接從低版本升級到高版本,則需對當前計費周期內(nèi)的剩余時間支付版本差價。
僅空間管理員角色和工作空間所有者,可以添加成員、修改成員角色、刪除成員及已創(chuàng)建的自定義角色。
僅支持使用阿里云主賬號,或被授予MaxCompute項目admin、Superadmin角色的RAM用戶,配置自定義的DataWorks新角色與MaxCompute引擎的權(quán)限映射關(guān)系。
預(yù)設(shè)角色擁有的權(quán)限點不支持修改。
空間級權(quán)限控制產(chǎn)品能力
DataWorks的工作空間為您提供了成員及角色等身份,您可以針對不同用戶的工作空間使用需求,授予其相應(yīng)的功能權(quán)限角色。DataWorks提供預(yù)設(shè)工作空間級別角色,預(yù)設(shè)角色擁有固定的功能點權(quán)限,當DataWorks的預(yù)設(shè)角色不能滿足您的需求時,您還可以通過角色管理自定義工作空間級角色。
空間級預(yù)設(shè)角色
DataWorks提供的空間預(yù)設(shè)角色默認擁有所有空間級模塊的可讀權(quán)限,但不同空間預(yù)設(shè)角色所擁有的空間級別模塊的管理和操作權(quán)限存在差異,具體如下表。
工作空間所有者為阿里云主賬號,RAM用戶(子賬號)僅可代主賬號創(chuàng)建工作空間。當前不支持給其他用戶授權(quán)為項目所有者。各預(yù)設(shè)角色的對DataWorks各個功能模塊的權(quán)限詳情請參見附錄:預(yù)設(shè)角色權(quán)限列表(空間級)。
角色 | 描述 |
項目所有者 | 工作空間所有者擁有工作空間的所有權(quán)限,正常為阿里云主賬號。例如,可以根據(jù)需求給RAM用戶授予相應(yīng)角色、刪除本工作空間非項目所有者的成員等。 |
空間管理員 | 該角色擁有除項目所有者以外的空間最大權(quán)限,還可以進行添加/移出工作空間成員并授予角色等操作。 |
數(shù)據(jù)分析師 | 僅具有數(shù)據(jù)分析模塊的操作權(quán)限。 |
開發(fā) | 該角色負責數(shù)據(jù)開發(fā)和維護工作,即在數(shù)據(jù)開發(fā)模塊進行節(jié)點的開發(fā)與維護。 說明
|
運維 | 該角色負責生產(chǎn)任務(wù)發(fā)布與運維,即在任務(wù)發(fā)布界面進行發(fā)布任務(wù)至生產(chǎn)環(huán)境的操作,在運維中心頁面管理全部任務(wù)的運行情況并進行相應(yīng)處理。 |
部署 | 該角色僅在多工作空間模式時審核任務(wù)代碼并決定是否提交運維。 |
訪客 | 該角色僅有只讀權(quán)限,可以查看數(shù)據(jù)開發(fā)頁面的業(yè)務(wù)流程設(shè)計和代碼內(nèi)容。 |
安全管理員 | 該角色僅有數(shù)據(jù)保護傘模塊的操作權(quán)限。 |
模型設(shè)計師 | 該角色可以在智能建模查看模型,進行數(shù)倉規(guī)劃、數(shù)據(jù)標準、維度建模和數(shù)據(jù)指標等內(nèi)容的編輯,但是不能發(fā)布模型。 |
數(shù)據(jù)治理管理員 | 該角色可以在數(shù)據(jù)治理中心模塊中查看并管理該角色所屬空間的數(shù)據(jù)治理相關(guān)內(nèi)容。 說明
|
空間級自定義角色
DataWorks空間級自定義角色可控制自定義的角色是否有使用某個空間級功能模塊的權(quán)限,DataWorks支持如下圖所示的空間級模塊的讀寫權(quán)限控制。如果您當前使用的是MaxCompute引擎,您還可以通過配置引擎權(quán)限映射使該角色擁有引擎資源的相關(guān)操作權(quán)限。新建自定義角色的操作請參見新建自定義空間級角色。
無權(quán)限:表示該角色無相應(yīng)模塊的查看權(quán)限。
只讀:表示該角色只能查看相應(yīng)模塊的數(shù)據(jù)信息,不能修改模塊數(shù)據(jù)。
讀寫:表示該角色可以修改相應(yīng)模塊的數(shù)據(jù)信息。
添加空間成員并管理成員角色權(quán)限
您可按職能授予RAM用戶(子賬號)空間級預(yù)設(shè)角色來控制其是否擁有某功能點權(quán)限,由于RAM用戶加入空間成為空間成員后默認可訪問空間級模塊,若您不希望某用戶訪問某空間模塊,您可通過授予該用戶空間級自定義角色禁止其訪問空間級指定模塊。
step1:進入成員管理頁面
在工作空間頁面,單擊空間成員。
step2:添加并管理工作空間成員
在空間成員頁簽右上角單擊添加成員。
在添加成員對話框中的待添加賬號模塊,勾選需要添加的成員賬號。
操作
說明
選擇組織成員
待添加賬號列表為您展示當前阿里云主賬號下所有的RAM用戶,您可單擊>圖標,將需要添加的RAM用戶移動至當前工作空間成為空間成員以便協(xié)同開發(fā)。
說明如果列表中未找到目標RAM用戶,可單擊界面上方的刷新按鈕進行刷新。
批量設(shè)置角色
您可以在此處勾選RAM用戶需要關(guān)聯(lián)的角色,關(guān)聯(lián)后此用戶即擁有角色對應(yīng)的權(quán)限。您可以選擇授予成員空間級別預(yù)設(shè)角色,或者自定義角色。在授予DataWorks空間級自定義角色前,您需要先參考下文(新建自定義空間級角色)創(chuàng)建自定義角色后,才可以在此處為RAM用戶設(shè)置角色。
說明如果您當前使用的是MaxCompute引擎時,MaxCompute引擎默認預(yù)設(shè)了部分Role,并且與DataWorks空間級預(yù)設(shè)角色存在映射關(guān)系。DataWorks通過空間級預(yù)設(shè)角色與MaxCompute開發(fā)環(huán)境引擎Role映射關(guān)系,來讓被授予該空間預(yù)設(shè)角色的RAM用戶擁有該角色映射的開發(fā)引擎Role權(quán)限,但默認無生產(chǎn)權(quán)限。
關(guān)于MaxCompute引擎添加成員的底層授權(quán)過程,詳情請參見MaxCompute數(shù)據(jù)權(quán)限控制詳情。
關(guān)于DataWorks空間預(yù)設(shè)角色與MaxCompute引擎Role的映射關(guān)系,詳情請參見附錄:空間級預(yù)設(shè)角色與MaxCompute引擎權(quán)限的映射關(guān)系。
當使用其他引擎時,DataWorks空間成員獲得引擎權(quán)限與被授予空間成員的操作無關(guān)。
單擊確定,完成添加工作空間成員。
完成后,您可以在空間成員頁簽中查看當前DataWorks項目空間下,所有成員的賬號、角色等信息,您可以通過篩選條件定位目標空間成員,并在角色列為該成員授予或刪除某個空間級預(yù)設(shè)角色或空間級自定義角色。還支持您單擊操作列的移除將目標用戶移出當前工作空間。
(可選)新建自定義空間級角色
工作空間預(yù)設(shè)角色權(quán)限無法修改,如果預(yù)設(shè)角色不滿足權(quán)限管控需求,您可以通過空間角色頁面自定義針對空間級功能的DataWorks角色。
在空間角色頁簽單擊添加自定義角色。
自定義角色名稱,并為自定義角色配置DataWorks不同空間級別模塊的權(quán)限。
無權(quán)限:表示該角色無相應(yīng)模塊的查看權(quán)限。
只讀:表示該角色只能查看相應(yīng)模塊的數(shù)據(jù)信息,不能修改模塊數(shù)據(jù)。
讀寫:表示該角色可以修改相應(yīng)模塊的數(shù)據(jù)信息。
單擊配置引擎權(quán)限映射下的添加,為自定義的DataWorks新角色配置與其他引擎權(quán)限的映射關(guān)系,使該角色擁有對應(yīng)引擎權(quán)限。
若您當前使用的為MaxCompute引擎,您也可以在創(chuàng)建DataWorks空間級自定義角色的同時,為該自定義角色映射MaxCompute引擎項目中的Role,讓被授予該自定義角色的成員可同時擁有該MaxCompute引擎Role中所擁有的權(quán)限。引擎與DataWorks權(quán)限的對應(yīng)關(guān)系請參見附錄:空間級預(yù)設(shè)角色與MaxCompute引擎權(quán)限的映射關(guān)系。
單擊開始配置。
當界面提示創(chuàng)建成功時,您即成功完成自定義角色的創(chuàng)建,后續(xù)進行添加成員時,可將成員關(guān)聯(lián)此角色。同時,您可以在角色管理頁簽編輯或刪除自定義角色。