DataWorks menyediakan sistem manajemen izin yang komprehensif untuk product management dan service usage. Dokumen ini menjelaskan cara DataWorks menggunakan model kontrol akses berbasis peran (RBAC) untuk mengelola izin pada layanan tingkat global dan tingkat ruang kerja.
Izin manajemen produk di DataWorks diperlukan bagi pengguna untuk melakukan operasi di konsol DataWorks. Sebagai contoh, Anda memerlukan izin ini untuk membuat, menonaktifkan, atau menghapus ruang kerja di halaman Workspaces, membuat atau mengonfigurasi grup sumber daya eksklusif di halaman Resource Groups, serta mengonfigurasi kontak peringatan di halaman Alert Contacts. DataWorks menggunakan kebijakan RAM untuk mengelola izin manajemen produk. Untuk informasi lebih lanjut, lihat Kelola Izin pada Produk DataWorks dan Entitas di Konsol DataWorks dengan Menggunakan Kebijakan RAM.
Layanan tingkat global dan tingkat ruang kerja
Setelah masuk ke Konsol DataWorks dan membuka halaman layanan DataWorks, klik ikon 
di pojok kiri atas halaman. Semua layanan DataWorks dalam gambar berikut akan ditampilkan.
Anda dapat mengklik layanan untuk membuka halaman layanan tersebut. Di halaman layanan, Anda dapat membedakan apakah layanan tersebut merupakan layanan tingkat ruang kerja atau tingkat global dengan cara berikut:
Jika nama ruang kerja ditampilkan di bilah navigasi atas, layanan tersebut adalah layanan tingkat ruang kerja, seperti DataStudio.
Jika nama ruang kerja tidak ditampilkan di bilah navigasi atas, layanan tersebut adalah layanan tingkat global, seperti Data Map.
Untuk informasi lebih lanjut tentang cara membedakan layanan tingkat ruang kerja dari layanan tingkat global, lihat bagian Lampiran: Bedakan antara Layanan Tingkat Ruang Kerja dan Layanan Tingkat Global dalam topik ini.
Peran tingkat global dan tingkat ruang kerja
Izin pada layanan di DataWorks dikelola berdasarkan model RBAC. DataWorks menyediakan peran tingkat global dan tingkat ruang kerja yang dapat digunakan untuk mengelola izin pada layanan tingkat global dan tingkat ruang kerja. Setelah menetapkan peran kepada pengguna, baik pengguna RAM maupun peran RAM, pengguna tersebut memiliki izin yang diperlukan pada layanan tertentu.
Istilah Kunci:
Pengguna: mencakup pengguna RAM dan peran RAM.
Peran: mencakup peran tingkat ruang kerja dan tingkat global.
Izin: mencakup izin pada layanan tingkat ruang kerja dan tingkat global.
DataWorks menyediakan peran bawaan tingkat global dan tingkat ruang kerja. Anda dapat menetapkan peran bawaan ini kepada pengguna untuk memberikan izin pada layanan tertentu. Anda juga dapat membuat peran khusus tingkat global atau tingkat ruang kerja sesuai kebutuhan bisnis. Gambar berikut menunjukkan hubungan antara pengguna, peran, dan izin.
Di antara semua jenis peran, hanya peran tenant administrator, yaitu peran tingkat global, yang memiliki izin pada semua layanan.
Peran tenant member secara otomatis diberikan kepada semua pengguna RAM yang termasuk dalam akun Alibaba Cloud.
Peran khusus tingkat global memiliki prioritas izin yang lebih tinggi daripada peran tenant member.
Sebagai contoh, Pengguna RAM A yang termasuk dalam akun Alibaba Cloud secara otomatis diberi peran tenant member, sehingga dapat mengakses Data Map. Jika administrator penyewa membuat peran khusus tingkat global yang tidak memiliki izin pada Data Map dan menetapkan peran tersebut kepada Pengguna RAM A, Pengguna RAM A tidak dapat mengakses Peta Data.
Izin peran tingkat global
DataWorks menyediakan peran tingkat global berikut: administrator penyewa, anggota penyewa, administrator keamanan penyewa, administrator direktori data, administrator pengumpulan metadata, dan administrator tata kelola data. Tabel berikut menjelaskan izin dari peran tingkat global.
Peran | Izin | Diberikan oleh | Deskripsi |
Tenant administrator | Izin pada semua layanan DataWorks, tidak termasuk izin untuk melakukan operasi di Konsol DataWorks. | Pemilik penyewa (akun Alibaba Cloud), pengguna RAM yang terlampir kebijakan AliyunDataWorksFullAccess, pengguna dengan izin AdministratorAccess, dan pengguna RAM yang ditetapkan peran tenant administrator. Pengguna RAM yang ditetapkan peran tenant administrator dapat menetapkan peran administrator penyewa kepada pengguna RAM lainnya. | Peran ini memiliki izin penuh di DataWorks dan dapat melakukan operasi pada semua layanan DataWorks. |
Tenant member | Izin yang sama dengan peran Develop:
| Tidak diperlukan otorisasi. Semua pengguna RAM yang termasuk dalam akun Alibaba Cloud secara otomatis diberi peran tenant member. | Semua pengguna RAM dan peran RAM yang termasuk dalam akun Alibaba Cloud secara otomatis diberi peran tenant member. |
Tenant security administrator | Semua izin pada Security Center, Approval Center, dan Data Security Guard. | tenant administrator dapat menetapkan peran tenant security administrator kepada pengguna RAM. | Peran ini digunakan untuk mengelola konfigurasi keamanan di ruang kerja. |
Data governance administrator | Izin reguler dan izin manajemen pada Data Governance Center, tidak termasuk izin untuk mengaktifkan layanan atau membuat, mengaktifkan, dan menonaktifkan item pemeriksaan. | tenant administrator dapat menetapkan peran data governance administrator kepada pengguna. | Peran ini digunakan untuk mengelola Pusat Tata Kelola Data. |
Data directory administrator | Izin reguler pada Data Map dan izin untuk mengelola data directories di Data Map. | tenant administrator dapat menetapkan peran data directory administrator kepada pengguna. | Peran ini digunakan untuk mengelola direktori data di Peta Data. |
Metadata collection administrator | Izin reguler pada Data Map dan izin metadata collection. | tenant administrator dapat menetapkan peran metadata collection administrator kepada seorang pengguna. | Peran ini digunakan untuk mengelola pengumpulan metadata di Peta Data. |
Izin peran tingkat ruang kerja
DataWorks menyediakan berbagai peran tingkat ruang kerja bawaan dan memungkinkan Anda membuat peran tingkat ruang kerja kustom sesuai kebutuhan bisnis.
Peran Tingkat Ruang Kerja Bawaan
DataWorks menyediakan peran tingkat ruang kerja bawaan berikut: Workspace Owner, Data Analyst, Workspace Administrator, Develop, O&M, Deploy, Visitor, Security Administrator, dan Model Designer.
CatatanPemilik ruang kerja adalah akun Alibaba Cloud, bukan pengguna RAM yang termasuk dalam akun Alibaba Cloud dan membuat ruang kerja. Peran Workspace Owner tidak dapat diberikan kepada pengguna lain. Untuk informasi lebih lanjut tentang izin peran tingkat ruang kerja bawaan pada layanan tingkat ruang kerja, lihat Izin Peran Tingkat Ruang Kerja Bawaan.
Peran Tingkat Ruang Kerja Kustom
DataWorks memungkinkan Anda membuat peran tingkat ruang kerja kustom dan memberikan izin peran tersebut pada layanan tingkat ruang kerja. Untuk informasi tentang cara membuat peran tingkat ruang kerja kustom, lihat Kelola Izin pada Layanan Tingkat Ruang Kerja.
Izin peran tingkat ruang kerja berlaku untuk dua jenis objek berikut: Layanan DataWorks dan mesin komputasi. Izin pada mesin komputasi mencakup izin untuk menambah, menghapus, memodifikasi, dan menanyakan item seperti tabel atau sumber daya di mesin komputasi. Tabel berikut menjelaskan izin peran tingkat ruang kerja bawaan dan kustom pada kedua jenis objek ini.
Objek | Peran Bawaan | Peran Kustom |
Layanan DataWorks | DataWorks telah mendefinisikan sebelumnya izin setiap peran tingkat ruang kerja bawaan pada layanan tingkat ruang kerja. Untuk informasi lebih lanjut, lihat Izin Peran Tingkat Ruang Kerja Bawaan. | Ketika Anda membuat peran tingkat ruang kerja kustom, Anda harus menentukan izin peran tersebut pada layanan tingkat ruang kerja. |
Mesin Komputasi MaxCompute |
| Jika Anda memetakan peran tingkat ruang kerja kustom ke peran MaxCompute saat membuat peran tingkat ruang kerja kustom, peran tingkat ruang kerja kustom memiliki izin peran MaxCompute yang dipetakan. |
Mesin Komputasi E-MapReduce (EMR) | Ketika Anda mendaftarkan kluster EMR ke ruang kerja DataWorks, Anda dapat mengonfigurasi pemetaan antara anggota ruang kerja dan akun Lightweight Directory Access Protocol (LDAP) kluster EMR. Ini memungkinkan anggota ruang kerja memiliki izin akun LDAP yang dipetakan pada mesin komputasi EMR terkait. Untuk informasi lebih lanjut, lihat Daftarkan Kluster EMR ke DataWorks. | |
Mesin Komputasi Cloudera's Distribution Including Apache Hadoop (CDH) | Ketika Anda mendaftarkan kluster CDH ke ruang kerja DataWorks, Anda dapat mengonfigurasi pemetaan antara anggota ruang kerja dan akun Linux atau Kerberos kluster CDH. Ini memungkinkan anggota ruang kerja memiliki izin akun Linux atau Kerberos yang dipetakan pada mesin komputasi CDH terkait. Untuk informasi lebih lanjut, lihat Kelola Ruang Kerja. | |
Jenis Mesin Komputasi Lainnya | Untuk menggunakan mesin komputasi di DataWorks, Anda harus menambahkan sumber data terkait. Ketika menambahkan sumber data ke ruang kerja DataWorks dalam mode standar, Anda harus menentukan identitas akses penjadwalan untuk mesin komputasi terkait di lingkungan pengembangan dan produksi. Sebagai contoh, jika ingin mengakses database AnalyticDB for PostgreSQL, Anda harus menentukan nama pengguna dan kata sandi yang digunakan untuk mengakses database tersebut ketika menambahkan sumber data AnalyticDB for PostgreSQL ke ruang kerja DataWorks. Pengguna yang diberi peran tingkat ruang kerja bawaan atau kustom menggunakan identitas akses penjadwalan yang ditentukan saat menambahkan sumber data untuk menjalankan tugas pada mesin komputasi terkait. Izin pada mesin komputasi selain MaxCompute tidak langsung diberikan kepada peran tingkat ruang kerja. Izin tersebut ditentukan berdasarkan identitas akses penjadwalan yang ditentukan saat menambahkan sumber data. | |
Ringkasan:
DataWorks menyediakan peran tingkat ruang kerja bawaan yang telah dipetakan ke peran sumber data yang Anda tambahkan ke ruang kerja. Dengan cara ini, peran tingkat ruang kerja bawaan memiliki izin peran yang dipetakan, memungkinkan pengguna dengan peran tersebut melakukan operasi tertentu pada mesin komputasi terkait.
DataWorks mendukung peran tingkat ruang kerja kustom. Saat membuat peran tingkat ruang kerja kustom, Anda dapat memetakan peran tersebut ke peran mesin komputasi. Dengan cara ini, peran tingkat ruang kerja kustom memiliki izin tertentu pada mesin komputasi.
Setelah menetapkan peran tingkat ruang kerja kepada pengguna, pengguna tersebut memiliki izin pada layanan DataWorks dan mesin komputasi. Contoh berikut menggunakan MaxCompute untuk menggambarkan bagaimana izin diberikan kepada pengguna dengan peran tingkat ruang kerja bawaan dan kustom.
Skenario 1: Tetapkan Peran Tingkat Ruang Kerja Bawaan kepada Pengguna
Pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota oleh pengguna dengan peran Administrator Ruang Kerja dan diberi peran Develop, yaitu peran tingkat ruang kerja bawaan.
CatatanUntuk informasi tentang cara menambahkan anggota ruang kerja dan memberikan izin kepada anggota ruang kerja, lihat Kelola Izin pada Layanan Tingkat Ruang Kerja.
Setelah pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota dan diberi peran Develop, pengguna RAM memiliki izin tertentu pada layanan DataWorks dan mesin komputasi MaxCompute tempat sumber data MaxCompute terkait ditambahkan ke ruang kerja.DataWorks: Setelah peran Develop diberikan kepada pengguna RAM, pengguna RAM dapat mengembangkan dan mengirim kode node di ruang kerja tetapi tidak dapat menerapkan kode node ke lingkungan produksi. Hanya peran Workspace Owner, Workspace Administrator, dan O&M yang memiliki izin untuk menerapkan kode node ke lingkungan produksi.
MaxCompute: Setelah peran Develop diberikan kepada pengguna RAM, peran Role_Project_Dev mesin komputasi MaxCompute diberikan kepada pengguna RAM. Peran Role_Project_Dev memiliki izin tertentu pada proyek MaxCompute yang berjalan di mesin komputasi MaxCompute di lingkungan pengembangan dan tabel di proyek tersebut.
CatatanAnda dapat memberikan peran Administrator Ruang Kerja kepada pengguna RAM untuk memberikan berbagai izin kepada pengguna RAM di DataWorks. Namun, pengguna RAM masih tidak dapat mengakses tabel di lingkungan produksi.
Pengguna RAM mengacu pada pengguna RAM yang tidak ditentukan sebagai identitas yang digunakan untuk mengakses proyek MaxCompute di lingkungan produksi.
Skenario 2: Tetapkan Peran Tingkat Ruang Kerja Kustom kepada Pengguna
Pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota oleh pengguna dengan peran Administrator Ruang Kerja dan diberi peran tingkat ruang kerja kustom.
Saat membuat peran tingkat ruang kerja kustom, Anda dapat menentukan apakah peran ini dipetakan ke peran mesin komputasi MaxCompute tempat sumber data MaxCompute terkait ditambahkan ke ruang kerja. Setelah peran tingkat ruang kerja kustom diberikan kepada pengguna RAM, pengguna RAM memiliki izin tertentu pada layanan DataWorks dan mesin komputasi MaxCompute.CatatanUntuk informasi lebih lanjut tentang cara membuat peran tingkat ruang kerja kustom, lihat Kelola Izin pada Layanan Tingkat Ruang Kerja. Untuk informasi lebih lanjut tentang cara menambahkan anggota ruang kerja dan memberikan izin kepada anggota ruang kerja, lihat Kelola Izin pada Layanan Tingkat Ruang Kerja.
DataWorks: Setelah peran tingkat ruang kerja kustom diberikan kepada pengguna RAM, pengguna RAM diberi izin pada layanan DataWorks tempat peran tingkat ruang kerja kustom dapat melakukan operasi.
MaxCompute:
Jika peran tingkat ruang kerja kustom tidak dipetakan ke peran mesin komputasi MaxCompute, pengguna RAM tidak memiliki izin pada mesin komputasi MaxCompute. Pengguna RAM tidak dapat menjalankan perintah untuk menanyakan objek di proyek MaxCompute yang berjalan di mesin komputasi MaxCompute.
Jika peran tingkat ruang kerja kustom dipetakan ke peran mesin komputasi MaxCompute, pengguna RAM memiliki izin peran MaxCompute yang dipetakan.
CatatanJika pengguna RAM ditentukan sebagai identitas akses penjadwalan mesin komputasi MaxCompute di lingkungan produksi, pengguna RAM dapat melakukan operasi atau mengakses tabel di mesin komputasi MaxCompute. Dalam skenario lain, pengguna RAM tidak dapat melakukan operasi atau mengakses tabel di mesin komputasi MaxCompute di lingkungan produksi bahkan setelah ditambahkan ke ruang kerja sebagai anggota. Jika Anda ingin pengguna RAM melakukan operasi atau mengakses tabel di mesin komputasi MaxCompute di lingkungan produksi, pengguna RAM harus mengajukan izin yang diperlukan di Security Center. Untuk informasi lebih lanjut tentang cara mengajukan izin, lihat bagian Ajukan Izin pada Tabel di Security Center (Versi Terbaru) dalam topik "Ajukan Izin pada Tabel". Untuk informasi tentang identitas yang dapat digunakan untuk mengakses mesin komputasi MaxCompute, lihat Kelola Ruang Kerja.
Lampiran: Pemetaan antara peran tingkat ruang kerja bawaan DataWorks dan peran MaxCompute
Tabel berikut menjelaskan pemetaan antara peran tingkat ruang kerja bawaan DataWorks dan peran MaxCompute. Tabel ini juga menjelaskan izin setiap peran di lingkungan pengembangan dan produksi.
Peran anggota ruang kerja DataWorks | Peran MaxCompute | Izin pada data di lingkungan pengembangan DataWorks dan proyek MaxCompute terkait | Izin pada data di lingkungan produksi DataWorks dan proyek MaxCompute terkait | Deskripsi izin di DataWorks |
Administrator Ruang Kerja | Role_Project_Admin |
| Tidak ada izin secara default. Anda harus mengajukan izin yang diperlukan di Security Center. | Pengguna dengan peran Administrator Ruang Kerja adalah administrator ruang kerja. Administrator memiliki izin untuk mengelola properti dasar, sumber data, konfigurasi mesin komputasi, dan anggota ruang kerja serta dapat menetapkan peran Administrator Ruang Kerja, Develop, O&M, Deploy, atau Pengunjung kepada anggota ruang kerja. |
Develop | Role_Project_Dev |
| Pengguna dengan peran Develop memiliki izin untuk membuat alur kerja, file skrip, sumber daya, fungsi yang ditentukan pengguna (UDF), tabel, dan tugas penerapan, serta menghapus tabel, tetapi tidak memiliki izin untuk melakukan operasi penerapan. | |
O&M | Role_Project_Pe | Peran ini memiliki semua izin pada proyek dan fungsi, sumber daya, instans, dan tugas di proyek, izin Read pada packages di proyek, dan izin Read dan Describe pada tabel di proyek. Catatan Peran O&M memiliki izin pada mesin komputasi MaxCompute, tetapi tidak memiliki izin untuk menjalankan node di konsol DataWorks. | Pengguna dengan peran O&M memiliki izin penerapan dan O&M online yang diberikan oleh peran Administrator Ruang Kerja, tetapi tidak memiliki izin untuk melakukan operasi pengembangan data. | |
Deploy | Role_Project_Deploy | Tidak ada izin secara default. | Pengguna dengan peran Deploy memiliki izin serupa dengan peran O&M, kecuali izin O&M online. | |
Analis Data | Role_Project_Data_Analyst | Tidak ada izin secara default. | Secara default, pengguna dengan peran Analis Data hanya memiliki izin pada DataAnalysis. | |
Pengunjung | Role_Project_Guest | Tidak ada izin secara default. | Pengguna dengan peran Pengunjung memiliki izin untuk melihat data, tetapi tidak memiliki izin untuk memodifikasi alur kerja atau kode. | |
Administrator Keamanan | Role_Project_Security | Tidak ada izin secara default. | Pengguna dengan peran Administrator Keamanan hanya dapat digunakan di Data Security Guard dan memiliki izin untuk mengonfigurasi aturan identifikasi data sensitif dan mengaudit risiko data di Data Security Guard. | |
Desainer Model | Role_Project_Erd | Tidak ada izin secara default. | Pengguna dengan peran Desainer Model memiliki izin untuk melihat model dan mengubah konfigurasi parameter di Perencanaan Gudang Data, Standar Data, Pemodelan Dimensi, dan Metrik Data, tetapi tidak memiliki izin untuk mempublikasikan model. | |
T/A | Project Owner | Identitas ini adalah pemilik proyek dan memiliki semua izin pada proyek. | Peran ini memiliki izin yang sama di lingkungan produksi seperti di lingkungan pengembangan. | T/A |
T/A | Super_Administrator | Peran ini adalah super administrator proyek dan memiliki izin manajemen pada proyek dan semua izin pada semua jenis sumber daya di proyek. | Peran ini memiliki izin yang sama di lingkungan produksi seperti di lingkungan pengembangan. | T/A |
T/A | Admin | Ketika Anda membuat proyek, sistem membuat peran Admin untuk proyek ini dan memberikan izin kepada peran tersebut untuk mengakses semua objek di proyek, mengelola pengguna atau peran, dan memberikan izin kepada pengguna atau peran. Berbeda dengan peran Project Owner, peran Admin tidak memiliki izin untuk melakukan operasi berikut: menetapkan peran Admin kepada pengguna, mengonfigurasi kebijakan keamanan untuk proyek, memodifikasi model autentikasi untuk proyek, dan memodifikasi izin peran Admin. Peran Project Owner dapat menetapkan peran Admin kepada pengguna dan mengotorisasi pengguna untuk mengelola konfigurasi keamanan. | Peran ini memiliki izin yang sama di lingkungan produksi seperti di lingkungan pengembangan. | T/A |
Lampiran: Bedakan antara layanan tingkat ruang kerja dan layanan tingkat global
Untuk layanan tingkat ruang kerja, seperti DataStudio, nama ruang kerja ditampilkan di bilah navigasi atas.
Untuk layanan tingkat global, seperti Data Map, nama ruang kerja tidak ditampilkan di bilah navigasi atas.