Berbagi Akun Alibaba Cloud untuk kolaborasi tim menimbulkan risiko keamanan yang signifikan. Sebagai gantinya, tambahkan Pengguna RAM sebagai anggota ruang kerja dan berikan mereka role yang sesuai. Pendekatan ini memungkinkan kontrol akses detail halus, yang menjamin keamanan data dan menstandarkan alur kerja pengembangan.
Cara kerja
Manajemen anggota DataWorks didasarkan pada model RAM Alibaba Cloud dan Kontrol akses berbasis peran (RBAC). Prinsip utamanya adalah sebagai berikut:
Identitas anggota: Anggota dalam ruang kerja adalah Pengguna RAM di bawah Akun Alibaba Cloud Anda. DataWorks tidak membuat atau menyimpan identitas pengguna.
Otorisasi peran: Anda memberikan izin kepada anggota dalam ruang kerja dengan menetapkan peran, seperti administrator, developer, dan O&M.
Pemetaan izin: Izin role DataWorks dipetakan ke izin mesin komputasi yang mendasarinya. Misalnya, jika Anda memberikan role developer di DataWorks kepada suatu anggota, sistem secara otomatis memberikan izin baca dan tulis yang sesuai kepada anggota tersebut di Proyek MaxCompute yang terhubung. Memahami pemetaan ini sangat penting untuk mengonfigurasi izin dengan benar.
Untuk informasi selengkapnya tentang sistem izin DataWorks, lihat Ikhtisar sistem izin DataWorks.
Izin
Untuk melakukan operasi ini, Anda harus memiliki role Workspace Manager di ruang kerja tersebut.
Akun Alibaba Cloud secara default diberikan role Workspace Manager untuk semua ruang kerja yang dibuatnya.
Tambah dan kelola anggota serta role
Buka DataWorks Management Center, temukan ruang kerja target, lalu klik Go To Management Center.
Di panel navigasi sebelah kiri, klik Workspace Members and Roles. Kemudian, klik Add Members di pojok kanan atas.
(Opsional) Untuk membuat Pengguna RAM baru, klik RAM console pada prompt di bagian atas kotak dialog untuk membuka Konsol RAM dan buat Pengguna RAM.
Pilih akun yang akan ditambahkan, pindahkan ke daftar Selected Accounts, tetapkan role, lalu klik Confirm untuk memberikan izin.
PentingPengguna RAM dengan role ruang kerja yang berbeda memiliki izin yang berbeda pada fitur DataWorks. Untuk informasi selengkapnya tentang role ruang kerja yang telah ditentukan, lihat Kontrol akses tingkat ruang kerja.
Pengguna RAM dengan role Workspace Administrator memiliki semua izin di ruang kerja tersebut.
Setelah menambahkan anggota ke ruang kerja, Anda dapat melihat dan mengelolanya di daftar Workspace Members. Anda dapat mengubah role anggota di kolom Role dan menghapus anggota di kolom Actions. Pemilik proyek tidak dapat dihapus.
Rekomendasi untuk lingkungan produksi
Prinsip hak istimewa minimal: Jangan berikan role Workspace Manager kepada developer atau engineer O&M. Sebaliknya, tetapkan role spesifik seperti Development, O&M, atau Deploy sesuai tanggung jawab mereka.
Tinjauan berkala: Pemilik proyek harus secara berkala meninjau daftar Workspace Members untuk segera menghapus anggota yang telah meninggalkan perusahaan atau berganti posisi, serta membersihkan izin yang tidak diperlukan.
Risiko izin administrator: Role Workspace Manager memberikan semua izin, termasuk kemampuan untuk mengelola anggota dan mengubah konfigurasi ruang kerja. Kesalahan operasi oleh administrator atau akun yang dikompromikan dapat berdampak serius terhadap seluruh proyek. Role ini harus dibatasi secara ketat hanya untuk satu atau dua pemilik inti.
Langkah selanjutnya
Setelah menambahkan anggota dan menetapkan role mereka, Anda dapat menggunakan sumber daya berikut untuk mempelajari dasar-dasar DataWorks:
Untuk tutorial pemula, lihat Komprehensif: Analisis profil pengguna situs web.
Untuk tutorial lainnya, lihat Tutorial Produk.
FAQ
T: Mengapa saya tidak dapat menemukan Pengguna RAM yang ingin saya tambahkan di daftar "Available Accounts"?
J: Pertama, pastikan Pengguna RAM tersebut telah dibuat di Konsol RAM Alibaba Cloud. Kemudian, di kotak dialog Add Members, klik tombol Refresh untuk mengambil daftar terbaru Pengguna RAM.T: Mengapa saya tidak dapat menghapus anggota ruang kerja tertentu?
J: Anda tidak dapat menghapus project owner ruang kerja tersebut. Pemilik proyek biasanya adalah Akun Alibaba Cloud yang membuat ruang kerja dan memiliki izin penuh atasnya.