數據資源平臺提供了完善的權限管控機制,支持以租戶或工作組為管控粒度,通過對用戶授予不同的角色實現全局或工作組內的各組件功能權限管控。本文為您詳細介紹租戶、工作組粒度下的角色體系。
背景信息
數據資源平臺功能權限是基于角色的權限控制,即角色對各類組件功能的只讀、讀寫權限控制。
數據資源平臺的賬號登錄體系與阿里云保持一致,統一采用阿里云賬號或RAM用戶登錄。
阿里云賬號:即主賬號,是阿里云資源的歸屬及使用計量計費的基本主體,負責生成本企業組織下的子賬號,并對子賬號進行管理、授權等。
RAM用戶:即子賬號,由主賬號在RAM系統(即阿里云的訪問控制)中創建并進行管理,其本身不擁有資源,也沒有獨立的計量計費,子賬號由所屬主賬號統一控制和付費。
什么是租戶
租戶是數據資源平臺產品使用的基本主體,為最高級權限隔離的命名空間,數據可以在租戶內共享,不同租戶之間數據完全隔離。
一個阿里云賬號即一個租戶;使用阿里云賬號購買數據資源平臺后,該阿里云賬號和其RAM子賬號登錄平臺后,將會在同一租戶中管理,平臺會自動分配阿里云賬號租戶管理員角色,用于管理使用RAM子賬號登錄的租戶成員操作權限。
一個租戶可創建并管理多個工作組,滿足同一組織不同部門或業務場景下的數據開發需求。
什么是工作組
工作組是數據資源平臺中進行數據研發的基本單元,用于數據隔離的命名空間,通常為一個用戶組、一個項目或一個應用。工作組內的數據通常為工作組內全部成員可見,研發工作臺的數據權限以工作組為單元相互隔離。因此在開始數據研發前,您需要先創建工作組。
一個工作組支持連接主流的關系型數據庫、消息隊列等多種類型的云計算資源。云計算資源連通后,即可在工作組中開展數據同步、治理、開發、運維、質量評估等工作。
租戶全局角色
數據資源平臺產品提供的全局角色及各角色的權限詳情如下表所示。租戶全局角色對數據資源平臺各個組件的權限詳情,請參見權限列表。
角色 | 權限詳情 |
租戶管理員 | 數據資源平臺產品最高權限管理員,擁有本租戶內的所有權限。 說明 在租戶全局角色中,僅租戶管理員,可以添加租戶成員及角色、修改成員角色以及刪除成員,具體操作,請參見用戶管理。 |
租戶運維人員 | 擁有租戶內所有工作組任務的監控權限,可獲取任務運行狀態,并處理相關監控的告警信息。 |
租戶一般用戶 | 擁有應用的注冊、管理權限,可通過應用的密鑰調用數據服務API。 |
租戶數據資產管理員 | 擁有全局數據資產的管理權限,包含全局數據資產的編目、公開和審批權限。 |
租戶訪客 | 擁有租戶內各組件的只讀訪問權限。 |
工作組角色
數據資源平臺產品提供的工作組角色及各角色擁有的工作組功能權限點如下表所示。工作組角色對數據資源平臺各個組件的權限詳情,請參見權限列表。
角色 | 權限詳情 |
工作組管理員 | 工作組的管理者,擁有本工作組內的最大權限。 說明 除租戶管理員外,工作組角色中,僅工作組管理員,可以添加工作組成員及角色、修改成員角色以及刪除成員,具體操作,請參見工作組成員管理。 |
工作組開發者 | 面向數據開發人員,擁有工作組內開發(例如云計算資源更新)等基本的修改權限以及讀權限。 |
工作組分析員 | 面向數據分析人員,擁有工作組內標簽創建、管理和使用權限,可使用工作組內的數據進行數據分析等操作。 |
工作組訪客 | 擁有工作組內各組件的只讀訪問權限。 |
元數據讀取 | 擁有工作組內云計算資源的元數據信息的訪問權限。 |
數據讀取 | 擁有工作組內云計算資源的元數據信息和數據信息的訪問權限 |
數據變更 | 擁有工作組內云計算資源的元數據信息和數據信息的訪問權限以及數據變更 |