本文為您介紹項目管理員的權限和職責。默認創建工作空間的阿里云賬號是工作空間所有者,擁有最高權限。
如果工作空間創建完成后,項目所有者不想自行管理,可以指定其子賬號為項目管理員角色。
創建工作空間
工作空間創建完成后,工作空間責任人為阿里云主賬號(子賬號代主賬號創建的工作空間,其責任人也為阿里云主賬號),創建工作空間的操作請參見創建工作空間。
子賬號需要有AliyunDataWorksFullAccess權限時,才可以代主賬號創建工作空間。詳情可參考文檔:為RAM用戶授權DataWorks相關管理權限。
空間管理員需要保證工作空間生產環境的穩定、控制工作空間成員中的角色權限(權限最小化,夠用即可),并控制表的權限。
添加工作空間成員
空間管理員有權限添加RAM子賬號為工作空間成員,并在相應的工作空間為子賬號授權相應的角色。每個角色對應的權限點,請參見附錄:預設角色權限列表(空間級)。
建議不要同時授予一個子賬號開發角色和運維角色。
控制相關權限
DataWorks角色分為預設角色與DataWorks空間級別自定義角色,每個角色擁有的權限不同。您可以在添加子賬號進入工作空間時,為子賬號授予具體對應的角色,授權后,該用戶將有該角色擁有的權限,詳情可參考:空間級模塊權限管控。每個角色擁有的界面操作權限不同,您可以參考附錄:預設角色權限列表(空間級)了解詳情。
當您使用MaxCompute引擎時,DataWorks預設角色MaxCompute開發引擎(開發項目)存在一定的權限映射,即授權預設角色后 ,該用戶擁有對應的引擎開發項目的資源操作權限。詳情可參考文檔:用戶、角色與權限概述。
為保證生產環境的穩定性和安全性,不允許個人賬號擁有生產表的刪除、修改等權限,且不允許成員隨意提交任務。
功能權限要求:
數據集成:添加數據源、批量上云等功能,僅空間所有者和空間管理員角色可以操作。
計算資源(MaxCompute資源觀測):空間管理員設置DataWorks的資源組分配后,運維人員即可通過MaxCompute管家查看系統狀態、資源組分配和任務監控。
運維中心:僅運維角色和空間管理員角色有運維中心更高的操作權限。
數據開發:僅開發角色和空間管理員角色可以在數據開發進行具體的開發工作。
在設置工作空間的級別時,您需要首先選擇設置調度引擎執行任務時,使用阿里云主賬號還是阿里云子賬號執行任務。如果設置有誤,權限體系會被破壞。
阿里云主賬號:執行SQL使用的是主賬號的AccessKey,可以操作當前區域下所有工作空間的表,請謹慎設置。
阿里云子賬號:執行SQL使用的是子賬號的AccessKey,權限會受到嚴格控制,無法直接操作生產表。