成員權限管理
DataWorks提供了完善的權限管控機制,支持在產品級與模塊級對權限進行管控,其中,模塊級權限按照管控對象又分為DataWorks控制臺和DataWorks功能模塊權限管控,您可以通過RAM Policy權限體系管理產品級及DataWorks控制臺的權限;通過RBAC權限模型管理DataWorks功能模塊的使用權限,本文為您詳細介紹DataWorks的權限體系。
權限管控體系介紹
DataWorks權限體系按照管控粒度劃分如下:
策略類型 | 授權方式 | 作用于DataWorks范圍 | 相關文檔 |
RAM Policy權限體系 | 通過為用戶(RAM用戶或Role)綁定某個權限策略,使其獲得權限策略中定義的訪問權限。
|
| |
RBAC權限模型 | 通過為某用戶(RAM用戶或Role)添加某個角色,這個用戶即可擁有此角色包含的DataWorks相關功能模塊的使用權限。
|
|
本文為您介紹DataWorks權限體系基本情況,您還可以參考最佳實踐:為RAM用戶授權指引文檔,根據各細分場景進行用戶權限控制。
注意事項
阿里云主賬號和擁有AdministratorAccess權限的RAM用戶默認擁有較大權限。
產品級權限管控
DataWorks產品級權限策略控制通過RAM Policy權限策略實現,您可以為RAM用戶授予系統內置的策略,或您自定義的RAM權限策略,實現DataWorks管理與操作的權限管控。
策略類型 | 操作類型 | 說明 | 相關文檔 |
RAM Policy權限體系 | 允許的操作 | 您可以為RAM用戶授予平臺提供的如下系統策略。
| |
禁止的操作 | 需要先自定義RAM權限策略再授權給指定RAM用戶,管控范圍包括:
|
模塊級:DataWorks管理控制臺權限管控
DataWorks管理控制臺權限通過RAM Policy權限策略實現,支持對所有在DataWorks管理控制臺中執行的操作權限進行管控。
策略類型 | 管控對象 | 相關操作 | 相關文檔 |
RAM Policy權限體系 | 工作空間 | 工作空間列表頁面中創建空間、禁用空間、刪除空間等操作。 | |
獨享資源組 | 資源組列表頁面中的創建獨享資源組、配置獨享資源組網絡等操作。 | ||
報警信息 | 報警配置頁面的配置聯系人等操作。 |
模塊級:DataWorks功能模塊使用權限管控
DataWorks根據功能使用范圍分為全局級功能模塊和空間級功能模塊,并分別提供全局級角色、空間級角色對相應功能進行權限管控。詳情請參見附錄1:全局級角色與空間級角色劃分。不同模塊的使用權限體系是基于RBAC(Role-based access control)權限模型構建的。
策略類型 | 管控對象 | 權限說明 | 相關文檔 |
RBAC(Role-based access control)權限模型 | 空間級模塊 |
說明 平臺預設部分空間級角色,其擁有固定的功能點權限,同時支持您自定義空間級別角色權限。 | |
全局級模塊 |
說明 平臺預設部分全局級角色,同時支持您自定義全局角色控制某角色是否擁有某模塊的讀寫權限。 |
附錄1:全局級角色與空間級角色劃分
DataWorks為您預設了部分全局角色和空間級角色,您可以直接使用這些角色給用戶授權,也可以根據需要,自定義全局角色或空間級角色。用戶、角色、權限之間的對應關系,如下圖所示。
在所有角色中,僅“全局級角色”中的租戶管理員角色擁有所有功能模塊的使用權限。
阿里云主賬號下所有RAM用戶均為被默認添加為租戶成員角色。
如果租戶管理員自定義了某個全局級別角色,并指定了該角色不具備某些全局級模塊的使用權限,則該自定義角色的權限優先級將高于租戶成員的權限。
例如:某個主賬號下的RAM用戶(RAM用戶A),默認情況下為租戶成員角色,可訪問數據地圖功能頁面。當租戶管理員自定義了某個角色,并指定該角色無數據地圖訪問權限,并將RAM用戶A添加為該自定義角色后,RAM用戶A則無法訪問數據地圖功能頁面。
附錄2:如何區分“空間級別模塊”和“全局級別模塊”
從全部產品入口進入產品功能頁面后,如果頁面頂部有工作空間選擇框的話,那此模塊就是“空間級別模塊“,例如數據集成、數據開發等。
從全部產品入口進入產品功能頁面后,如果頁面頂部沒有工作空間選擇框的話,那此模塊就是”全局級別模塊”,例如數據保護傘、數據地圖等。