Praktik terbaik untuk mengelola izin pengguna RAM - DataWorks

Jika Anda ingin mengizinkan pengguna RAM menggunakan DataWorks, Anda dapat memberikan izin yang diperlukan kepada pengguna RAM sesuai dengan skenario penggunaan. Topik ini menjelaskan cara mengelola izin pengguna RAM dalam berbagai skenario penggunaan.

Informasi latar belakang

DataWorks menyediakan sistem manajemen izin komprehensif untuk manajemen layanan dan penggunaan modul layanan. Modul layanan diklasifikasikan menjadi modul tingkat global dan tingkat ruang kerja berdasarkan cakupan penggunaannya. DataWorks menyediakan peran tingkat global dan tingkat ruang kerja yang dapat digunakan untuk mengelola izin pada modul layanan tingkat global dan tingkat ruang kerja. DataWorks juga memungkinkan Anda menggunakan kebijakan RAM untuk mengelola izin manajemen layanan. Untuk informasi lebih lanjut, lihat Ikhtisar Kebijakan. DataWorks juga mendukung kontrol akses berbasis peran (RBAC) untuk mengelola izin pada modul layanan. Untuk informasi lebih lanjut, lihat Ikhtisar Pengguna, Peran, dan Izin.

Topik ini menjelaskan proses otorisasi izin dalam berbagai skenario penggunaan DataWorks. Anda dapat mempelajari tentang sistem manajemen izin dari dimensi manajemen izin tingkat produk, manajemen izin pada modul layanan tingkat global, dan manajemen izin pada modul layanan tingkat ruang kerja.

Sistem manajemen izin

Gambar berikut menunjukkan cara mengelola izin pengguna RAM berdasarkan jenis operasi dan jenis otorisasi, seperti otorisasi berbasis kebijakan RAM dan RBAC. Introduction to the permission management system

Introduction to the permission management system

Jika Anda ingin melakukan operasi global sebagai pengguna RAM, pastikan pengguna RAM memiliki izin tingkat produk kasar. Jika Anda ingin melakukan operasi pada modul layanan tertentu, di konsol DataWorks, atau pada grup sumber daya sebagai pengguna RAM, pastikan pengguna RAM memiliki izin tingkat modul layanan halus.

Catatan Kebijakan penolakan memiliki prioritas lebih tinggi daripada kebijakan lain yang dikonfigurasi untuk pengguna RAM.

Berikut ini menjelaskan manajemen izin untuk pengguna RAM berdasarkan tingkat manajemen izin, termasuk tingkat produk dan tingkat modul layanan.

Tingkat Produk: Manajemen dan Operasi DataWorks
Tingkat Modul Layanan: Manajemen Izin Operasi di Konsol DataWorks
Tingkat Modul Layanan: Manajemen Izin pada Modul Layanan DataWorks yang Berbeda

Tingkat produk: Manajemen dan operasi DataWorks

Untuk melakukan manajemen tingkat produk DataWorks dan manajemen izin operasi, Anda harus menggunakan kebijakan RAM.

Jenis Izin	Deskripsi	Prosedur	Referensi
Mengizinkan Pengguna RAM Mengelola Layanan DataWorks	Secara default, hanya akun Alibaba Cloud yang memiliki izin untuk mengelola layanan DataWorks. Jika Anda ingin berkolaborasi dengan pengguna RAM untuk mengelola layanan DataWorks, Anda harus melampirkan kebijakan sistem yang diperlukan ke pengguna RAM. Catatan Setelah otorisasi, pengguna RAM dapat mengelola layanan DataWorks atas nama akun Alibaba Cloud, tetapi tidak dapat membeli layanan.	Masuk ke Konsol Resource Access Management (RAM). Lampirkan kebijakan `AliyunDataWorksFullAccess` ke pengguna RAM.	Berikan Izin kepada Pengguna RAM
Mengizinkan Pengguna RAM Membeli Sumber Daya dan Mengaktifkan Layanan	Secara default, hanya akun Alibaba Cloud yang dapat membeli sumber daya dan mengaktifkan layanan. Misalnya, Anda dapat membeli edisi DataWorks tingkat lanjut dengan menggunakan akun Alibaba Cloud. Jika Anda ingin mengizinkan pengguna RAM membeli sumber daya dan mengaktifkan layanan, Anda harus melampirkan kebijakan sistem yang diperlukan ke pengguna RAM. Catatan Setelah otorisasi, pengguna RAM dapat melihat, membayar, dan membatalkan pesanan di Manajemen Penagihan.	Masuk ke Konsol Resource Access Management (RAM). Lampirkan kebijakan `AliyunBSSOrderAccess` ke pengguna RAM.	Berikan Izin kepada Pengguna RAM
Melarang Pengguna RAM Melakukan Operasi di DataWorks	Jika Anda ingin melarang pengguna RAM mengakses konsol DataWorks atau modul layanan tertentu, atau melarang pengguna RAM memanggil operasi API, Anda harus membuat kebijakan kustom dan melampirkan kebijakan tersebut ke pengguna RAM. Catatan Secara default, semua pengguna RAM yang termasuk dalam akun Alibaba Cloud diberi peran anggota penyewa dan diizinkan mengakses konsol DataWorks.	Masuk ke Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Lampiran 1: Larang Pengguna RAM Melakukan Semua Operasi. Lampirkan kebijakan kustom ke pengguna RAM.	Buat Kebijakan Kustom Lampirkan Kebijakan Kustom ke Pengguna
Melarang Pengguna RAM Memanggil Operasi API	Secara default, pengguna RAM yang memiliki izin pada modul layanan DataWorks dapat memanggil operasi API dari modul layanan tersebut. Jika Anda ingin melarang pengguna RAM memanggil semua operasi API, Anda harus membuat kebijakan kustom dan melampirkan kebijakan tersebut ke pengguna RAM.	Masuk ke Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Lampiran 2: Larang Pengguna RAM Memanggil Operasi API. Lampirkan kebijakan kustom ke pengguna RAM.
Melarang Pengguna RAM Mengakses Modul Layanan DataWorks	Jika Anda ingin melarang pengguna RAM mengakses semua modul layanan DataWorks, Anda harus membuat kebijakan kustom dan melampirkan kebijakan tersebut ke pengguna RAM. Catatan Secara default, semua pengguna RAM yang termasuk dalam akun Alibaba Cloud diberi peran anggota penyewa. Pengguna RAM dapat mengakses modul layanan ruang kerja tempat pengguna RAM ditambahkan sebagai anggota ruang kerja dan semua modul layanan tingkat global. Jika Anda melampirkan kebijakan kustom ke pengguna RAM, pengguna RAM tidak dapat mengakses semua modul layanan DataWorks, tetapi dapat memanggil operasi API dari modul layanan tempat pengguna RAM memiliki izin.	Masuk ke Konsol Resource Access Management (RAM). Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Lampiran 3: Larang Pengguna RAM Mengakses Modul Layanan DataWorks. Lampirkan kebijakan kustom ke pengguna RAM.

Tingkat modul layanan: Manajemen izin operasi di konsol DataWorks

Untuk melakukan manajemen izin tingkat modul layanan operasi di konsol DataWorks, Anda harus menggunakan kebijakan RAM.

Jenis izin

Deskripsi

Prosedur

Referensi

Mengizinkan pengguna RAM mengelola ruang kerja dan grup sumber daya

Secara default, Anda dapat mengelola sumber daya dan ruang kerja DataWorks hanya dengan menggunakan akun Alibaba Cloud. Misalnya, Anda dapat mengubah konfigurasi grup sumber daya atau ruang kerja, dan menghapus grup sumber daya dengan menggunakan akun Alibaba Cloud.

Jika Anda ingin mengizinkan pengguna RAM mengelola grup sumber daya dan ruang kerja, Anda harus membuat kebijakan kustom dan melampirkan kebijakan tersebut ke pengguna RAM.

Masuk ke Konsol Resource Access Management (RAM).
Buat kebijakan kustom.
Catatan Kebijakan RAM yang diperlukan bervariasi berdasarkan operasi yang ingin Anda izinkan pengguna RAM lakukan pada grup sumber daya atau ruang kerja. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat Kelola izin pada layanan DataWorks dan entitas di konsol DataWorks menggunakan kebijakan RAM.
Lampirkan kebijakan kustom ke pengguna RAM.

Tingkat modul layanan: Manajemen izin pada modul layanan DataWorks yang berbeda

Untuk melakukan manajemen izin tingkat modul layanan, Anda dapat menggunakan fitur manajemen pengguna di halaman Manajemen Ruang Kerja.

Jenis Izin	Deskripsi	Prosedur
Tetapkan Peran Tingkat Ruang Kerja kepada Pengguna RAM	Pengguna RAM harus ditambahkan sebagai anggota ruang kerja sebelum pengguna RAM dapat melakukan operasi untuk pengembangan data di ruang kerja. Anda dapat menetapkan peran tingkat ruang kerja tertentu kepada pengguna RAM untuk mengizinkan pengguna RAM melakukan operasi di modul layanan tertentu. Contoh: Tetapkan peran Development kepada pengguna RAM untuk mengizinkan pengguna RAM melakukan operasi untuk pengembangan data di ruang kerja tertentu. Peran Development adalah peran tingkat ruang kerja bawaan. Misalnya, pengguna RAM dapat membuat tabel atau mengeksekusi pernyataan SQL. Tetapkan peran O&M kepada pengguna RAM untuk mengizinkan pengguna RAM melakukan operasi seperti penerapan node atau operasi O&M pada node di ruang kerja tertentu. Peran O&M adalah peran tingkat ruang kerja bawaan. Tetapkan peran tingkat ruang kerja kustom kepada pengguna RAM untuk mengizinkan pengguna RAM memiliki izin yang Anda inginkan pengguna RAM miliki. Catatan Untuk informasi lebih lanjut tentang peran tingkat ruang kerja bawaan dan kustom, lihat Izin Peran Tingkat Ruang Kerja.	Pergi ke Halaman Manajemen Pengguna. Opsional:Buat Peran Tingkat Ruang Kerja Kustom. Tambahkan Pengguna RAM sebagai Anggota Ruang Kerja dan Tetapkan Peran Tingkat Ruang Kerja Bawaan atau Kustom kepada Pengguna RAM.
Tetapkan Peran Tingkat Global kepada Pengguna RAM	Secara default, semua pengguna RAM yang termasuk dalam akun Alibaba Cloud diberi peran anggota penyewa dan diizinkan mengakses tetapi tidak diizinkan mengelola modul layanan tingkat global. Jika Anda ingin mengizinkan pengguna RAM mengelola modul layanan tingkat global dan menerapkan manajemen izin dalam skenario yang berbeda, Anda harus menetapkan peran tingkat global yang diperlukan kepada pengguna RAM. Contoh: Tetapkan peran tertentu kepada pengguna RAM untuk mengizinkan pengguna RAM memiliki izin manajemen pada modul layanan tertentu. Tetapkan peran tertentu kepada pengguna RAM untuk melarang pengguna RAM mengakses modul layanan tertentu. Catatan Untuk informasi lebih lanjut tentang peran tingkat global bawaan dan kustom, lihat Kelola Izin pada Layanan Tingkat Global.	Pergi ke Halaman Manajemen Anggota Global. Opsional:Buat Peran Tingkat Global Kustom. Tambahkan Pengguna RAM sebagai Anggota Ruang Kerja dan Tetapkan Peran Tingkat Global Bawaan atau Kustom kepada Pengguna RAM.

Lampiran 1: Larang pengguna RAM melakukan semua operasi

Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM melakukan semua operasi ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat menggunakan semua fitur DataWorks. Misalnya, pengguna RAM tidak dapat melakukan operasi di konsol DataWorks, menggunakan fitur pada modul layanan yang berbeda, atau memanggil operasi API.

Skrip Otorisasi:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*"
        }
    ]
}

Lampiran 2: Larang pengguna RAM memanggil operasi API

Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM memanggil operasi API ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat memanggil operasi API DataWorks.

Skrip Otorisasi:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "dataworks:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "dataworks:Scope": "OpenAPI"
        }
      }
    }
  ]
}

Lampiran 3: Larang pengguna RAM mengakses modul layanan DataWorks

Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM mengakses modul layanan DataWorks ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat mengakses modul layanan DataWorks.

Catatan Kebijakan ini hanya melarang pengguna RAM mengakses modul layanan. Jika pengguna RAM memiliki izin untuk memanggil operasi API modul layanan tertentu, pengguna RAM masih dapat memanggil operasi API tersebut.

Skrip Otorisasi:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dataworks:Scope": "Page"
                }
            }
        }
    ]
}