Manage izin RAM user dalam berbagai skenario - DataWorks - Alibaba Cloud - DataWorks

Topik ini menyediakan panduan untuk memberikan izin kepada pengguna RAM dalam berbagai kasus penggunaan DataWorks.

Informasi latar belakang

DataWorks menyediakan sistem pengelolaan izin yang komprehensif untuk mengelola Produk dan fitur-fiturnya. Sistem tersebut mencakup modul tingkat global dan tingkat ruang kerja, yang masing-masing dikendalikan oleh role tingkat global dan tingkat ruang kerja. Sistem kebijakan RAM mengontrol izin pengelolaan produk di DataWorks, sedangkan model kontrol akses berbasis peran (RBAC) mengatur izin untuk modul-modul produk.

Topik ini menjelaskan cara memberikan izin untuk berbagai kasus penggunaan DataWorks dengan merinci kontrol izin untuk pengelolaan, modul global, dan modul ruang kerja.

Sistem pengelolaan izin

Gambar berikut menunjukkan cara mengelola izin untuk pengguna RAM berdasarkan dimensi berbeda, seperti jenis operasi dan sistem izin. 授权体系介绍 Untuk operasi global, berikan izin kasar (coarse-grained) tingkat produk. Untuk operasi pada modul tertentu atau pengelolaan Konsol dan kelompok sumber daya, berikan izin detail halus (fine-grained) tingkat modul.

Catatan

Untuk pengguna RAM, kebijakan yang berisi pernyataan Deny selalu memiliki prioritas lebih tinggi dibandingkan kebijakan apa pun yang memberikan izin.

Topik ini merinci pengelolaan izin untuk pengguna RAM, dikelompokkan berdasarkan jenis otorisasi. Untuk informasi lebih lanjut, lihat bagian-bagian berikut:

Tingkat produk: Mengontrol izin untuk pengelolaan dan operasi DataWorks
Tingkat modul: Mengontrol izin untuk Konsol DataWorks
Tingkat modul: Mengontrol izin untuk berbagai modul DataWorks

Tingkat produk: Izin pengelolaan dan operasi

Untuk mengontrol izin pengelolaan dan operasi DataWorks pada tingkat produk, gunakan kebijakan RAM di Resource Access Management (RAM).

Jenis izin	Deskripsi	Prosedur	Referensi
Mengizinkan pengguna RAM mengelola layanan DataWorks	Secara default, hanya Akun Alibaba Cloud yang dapat mengelola layanan DataWorks. Untuk mengizinkan pengguna RAM membantu dalam pengelolaan, berikan izin yang diperlukan. Catatan Pemberian izin ini memungkinkan pengguna RAM mengelola fitur internal produk atas nama Akun Alibaba Cloud, tidak termasuk fungsi terkait pembelian.	Buka Konsol Resource Access Management (RAM). Sambungkan kebijakan sistem `AliyunDataWorksFullAccess` ke pengguna RAM.	Mengelola izin pengguna RAM
Mengizinkan pengguna RAM membeli sumber daya dan mengaktifkan layanan	Secara default, hanya Akun Alibaba Cloud yang dapat membeli sumber daya dan mengaktifkan layanan, seperti membeli DataWorks Edisi Standar, Edisi Profesional, atau Edisi Perusahaan. Untuk mengizinkan pengguna RAM melakukan tindakan tersebut, berikan izin yang diperlukan. Catatan Setelah Anda memberikan izin tersebut, pengguna RAM dapat melihat, membayar, dan membatalkan Pesanan di Billing Management.	Buka Konsol Resource Access Management (RAM). Sambungkan kebijakan sistem `AliyunBSSOrderAccess` ke pengguna RAM.	Mengelola izin pengguna RAM
Mencegah pengguna RAM melakukan operasi di DataWorks	Untuk mencegah pengguna mengakses Konsol, antarmuka pengguna modul DataWorks, atau memanggil OpenAPI, berikan izin ini. Catatan Secara default, semua pengguna RAM di bawah Akun Alibaba Cloud merupakan anggota penyewa DataWorks dan dapat mengakses Konsol DataWorks.	Buka Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk konten kebijakan, lihat Kebijakan 1: Mencegah pengguna RAM melakukan semua operasi. Temukan pengguna target dan sambungkan kebijakan kustom tersebut.	Membuat kebijakan kustom Menyambungkan kebijakan kustom ke pengguna
Mencegah pengguna RAM memanggil OpenAPI	Secara default, pengguna yang memiliki izin untuk modul DataWorks juga dapat memanggil OpenAPI modul tersebut. Untuk mencegah pengguna memanggil OpenAPI apa pun, berikan izin ini.	Buka Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk konten kebijakan, lihat Kebijakan 2: Mencegah pengguna RAM memanggil OpenAPI. Temukan pengguna target dan sambungkan kebijakan kustom tersebut.
Mencegah pengguna RAM mengakses antarmuka pengguna modul DataWorks	Untuk mencegah pengguna mengakses semua antarmuka pengguna modul DataWorks, berikan izin ini. Catatan Secara default, semua pengguna RAM di bawah Akun Alibaba Cloud merupakan anggota penyewa DataWorks. Mereka dapat mengakses modul global dan modul dalam ruang kerja mana pun yang telah mereka ikuti. Kebijakan ini hanya mencegah pengguna RAM mengakses antarmuka pengguna modul DataWorks. Pengguna tetap dapat memanggil OpenAPI modul tersebut jika memiliki izin yang diperlukan.	Buka Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk konten kebijakan, lihat Kebijakan 3: Mencegah pengguna RAM mengakses antarmuka pengguna modul DataWorks. Temukan pengguna target dan sambungkan kebijakan kustom tersebut.

Tingkat modul: Izin Konsol DataWorks

Untuk mengontrol izin Konsol DataWorks pada tingkat modul, gunakan kebijakan RAM.

Jenis izin

Deskripsi

Prosedur

Referensi

Mengizinkan pengguna RAM mengelola ruang kerja dan kelompok sumber daya

Secara default, hanya Akun Alibaba Cloud yang dapat mengelola sumber daya dan ruang kerja DataWorks, misalnya mengubah konfigurasi kelompok sumber daya dan ruang kerja atau menghapus kelompok sumber daya.

Untuk mengizinkan pengguna RAM mengelola kelompok sumber daya dan ruang kerja, berikan izin yang diperlukan.

Buka Konsol Resource Access Management (RAM).
Buat kebijakan kustom.

Catatan
Pengelolaan kelompok sumber daya dan ruang kerja melibatkan berbagai operasi yang memerlukan konfigurasi kebijakan berbeda. Saat membuat kebijakan, lihat Kebijakan RAM untuk kontrol izin produk dan konsol.
Temukan pengguna target dan sambungkan kebijakan kustom tersebut.

Tingkat modul: Izin modul DataWorks

Untuk mengontrol izin modul DataWorks pada tingkat modul, gunakan pengelolaan anggota di ruang kerja DataWorks.

DataWorks tidak mendukung pemberian izin secara massal ke grup pengguna RAM. Untuk memberikan izin ruang kerja kepada beberapa pengguna RAM, Anda harus menambahkan setiap pengguna satu per satu ke bagian pengelolaan anggota ruang kerja dan menetapkan role kepada mereka, seperti role Administrator Ruang Kerja atau O&M yang telah ditentukan sebelumnya, atau role kustom.

Jenis izin

Deskripsi

Prosedur

Menetapkan role tingkat ruang kerja kepada pengguna RAM

Pengguna RAM harus menjadi anggota ruang kerja untuk melakukan operasi pengembangan. Anda dapat menetapkan role tingkat ruang kerja yang berbeda kepada pengguna RAM untuk mengontrol izin berbagai fitur antarmuka pengguna modul. Contoh:

Berikan role Development yang telah ditentukan sebelumnya kepada pengguna RAM agar mereka dapat melakukan pengembangan data di ruang kerja tertentu, seperti membuat tabel dan menjalankan SQL.
Berikan role O&M yang telah ditentukan sebelumnya kepada pengguna RAM agar mereka dapat melakukan operasi seperti publikasi task dan O&M di ruang kerja.
Berikan role kustom kepada pengguna RAM agar mereka hanya memiliki izin yang Anda definisikan.

Catatan

Untuk informasi lebih lanjut tentang role yang telah ditentukan sebelumnya dan role kustom di ruang kerja DataWorks, lihat Role tingkat ruang kerja.

Menetapkan role tingkat global kepada pengguna RAM

Secara default, semua pengguna RAM di bawah Akun Alibaba Cloud merupakan anggota penyewa dan dapat mengakses tetapi tidak mengelola modul global. Untuk mengizinkan pengguna RAM mengelola modul-modul tersebut demi menerapkan kontrol izin untuk berbagai skenario, berikan izin yang diperlukan. Contoh:

Berikan role tertentu kepada pengguna RAM untuk memberikan izin pengelolaan modul tertentu.
Berikan role tertentu kepada pengguna RAM untuk mencegah mereka mengakses modul tertentu.

Catatan

Untuk informasi lebih lanjut tentang role tingkat global yang telah ditentukan sebelumnya dan kustom di DataWorks, lihat Kontrol izin untuk modul tingkat global.