DataWorks menerapkan model izin dua lapis: kebijakan RAM mengontrol akses tingkat produk, sedangkan kontrol akses berbasis peran (RBAC) mengelola akses dalam modul layanan. Berikan izin kepada pengguna RAM sesuai dengan tugas yang ingin mereka lakukan.
Ikhtisar manajemen izin
Gambar berikut mengilustrasikan cara kerja dua mekanisme otorisasi tersebut secara bersamaan.
DataWorks mengorganisasi izin ke dalam dua tingkat:
Tingkat produk: Mengontrol apakah pengguna RAM dapat mengelola layanan DataWorks, membeli resource, atau diblokir dari semua operasi. Dikonfigurasi menggunakan kebijakan RAM di Konsol Resource Access Management (RAM).
Tingkat modul layanan: Mengontrol apa yang dapat dilakukan pengguna RAM di dalam modul layanan tertentu—seperti pengembangan data atau operasi O&M di suatu ruang kerja. Dikonfigurasi menggunakan kebijakan RAM (untuk operasi konsol dan kelompok sumber daya) atau peran RBAC (untuk modul ruang kerja dan layanan global).
Kebijakan Tolak memiliki prioritas lebih tinggi daripada semua kebijakan lain yang dikonfigurasi untuk pengguna RAM.
Bagian berikut menjelaskan masing-masing tingkat secara detail:
Izin tingkat produk
Gunakan kebijakan RAM untuk memberikan atau membatasi akses tingkat produk ke DataWorks.
| Skenario | Deskripsi | Langkah | Referensi |
|---|---|---|---|
| Izinkan pengguna RAM mengelola layanan DataWorks | Secara default, hanya Akun Alibaba Cloud yang dapat mengelola layanan DataWorks. Sambungkan AliyunDataWorksFullAccess agar pengguna RAM dapat mengelola layanan atas nama akun tersebut. Pengguna RAM tidak dapat membeli layanan. | 1. Masuk ke konsol RAM. 2. Sambungkan kebijakan AliyunDataWorksFullAccess ke pengguna RAM. | Berikan izin kepada pengguna RAM |
| Izinkan pengguna RAM membeli resource dan mengaktifkan layanan | Secara default, hanya Akun Alibaba Cloud yang dapat membeli resource dan mengaktifkan layanan. Sambungkan AliyunBSSOrderAccess agar pengguna RAM dapat melihat, membayar, dan membatalkan pesanan di Billing Management. | 1. Masuk ke konsol RAM. 2. Sambungkan kebijakan AliyunBSSOrderAccess ke pengguna RAM. | Berikan izin kepada pengguna RAM |
| Blokir pengguna RAM dari semua operasi DataWorks | Secara default, semua pengguna RAM dalam Akun Alibaba Cloud diberi peran anggota penyewa dan dapat mengakses konsol DataWorks. Buat dan sambungkan kebijakan tolak kustom untuk memblokir pengguna RAM dari semua operasi konsol, akses modul layanan, dan operasi API. | 1. Masuk ke konsol RAM. 2. Buat kebijakan kustom. Lihat Lampiran 1: Blokir semua operasi. 3. Sambungkan kebijakan kustom tersebut ke pengguna RAM. | Buat kebijakan kustom dan Sambungkan kebijakan kustom ke pengguna |
| Blokir pengguna RAM dari memanggil operasi API | Secara default, pengguna RAM yang memiliki izin modul layanan dapat memanggil operasi API. Buat dan sambungkan kebijakan tolak kustom untuk memblokir semua pemanggilan API sambil tetap mempertahankan akses konsol. | 1. Masuk ke konsol RAM. 2. Buat kebijakan kustom. Lihat Lampiran 2: Blokir operasi API. 3. Sambungkan kebijakan kustom tersebut ke pengguna RAM. | — |
| Blokir pengguna RAM dari mengakses modul layanan | Secara default, anggota penyewa dapat mengakses modul layanan apa pun di ruang kerja tempat mereka berada, serta semua modul layanan tingkat global. Buat dan sambungkan kebijakan tolak kustom untuk memblokir akses konsol ke semua modul layanan. Pengguna RAM tetap dapat memanggil operasi API jika memiliki izin yang relevan. | 1. Masuk ke konsol RAM. 2. Buat kebijakan kustom. Lihat Lampiran 3: Blokir akses modul layanan. 3. Sambungkan kebijakan kustom tersebut ke pengguna RAM. | — |
Izin tingkat modul layanan: operasi konsol dan kelompok sumber daya
Gunakan kebijakan RAM agar pengguna RAM dapat mengelola ruang kerja dan kelompok sumber daya di konsol DataWorks.
Secara default, hanya Akun Alibaba Cloud yang dapat mengubah konfigurasi ruang kerja atau kelompok sumber daya, atau menghapus kelompok sumber daya. Untuk memberikan izin ini kepada pengguna RAM, buat dan sambungkan kebijakan RAM kustom yang menentukan operasi yang diizinkan secara eksplisit.
Kebijakan RAM yang diperlukan bergantung pada operasi mana yang ingin diizinkan untuk pengguna RAM. Contoh kebijakan tersedia di Kebijakan RAM kustom: kontrol izin detail halus untuk operasi konsol.
Langkah:
Masuk ke konsol RAM.
Izin tingkat modul layanan: modul ruang kerja dan layanan global
Gunakan peran RBAC untuk mengontrol apa yang dapat dilakukan pengguna RAM di dalam modul layanan DataWorks. Kelola penugasan ini di halaman Workspace Management.
| Skenario | Deskripsi | Langkah |
|---|---|---|
| Tetapkan peran tingkat ruang kerja | Pengguna RAM harus menjadi anggota ruang kerja sebelum melakukan operasi pengembangan data. Tetapkan peran bawaan atau kustom tingkat ruang kerja untuk mengontrol akses dalam modul layanan tertentu. Peran bawaan mencakup: Development (membuat tabel, menjalankan SQL) dan O&M (men-deploy node, melakukan operasi O&M). Untuk detail tentang peran bawaan dan kustom, lihat Izin peran tingkat ruang kerja. | 1. Buka halaman User Management. 2. (Opsional) Buat peran kustom tingkat ruang kerja. 3. Tambahkan pengguna RAM sebagai anggota ruang kerja dan tetapkan peran. |
| Tetapkan peran tingkat global | Secara default, anggota penyewa dapat mengakses tetapi tidak mengelola modul layanan tingkat global. Tetapkan peran tingkat global untuk memberikan izin pengelolaan pada modul layanan global tertentu, atau untuk membatasi akses ke modul tertentu. Untuk detail tentang peran bawaan dan kustom tingkat global, lihat Kelola peran dan anggota global. | 1. Buka halaman Global Member Management. 2. (Opsional) Buat peran kustom tingkat global. 3. Tambahkan pengguna RAM dan tetapkan peran. |
Lampiran 1: Blokir semua operasi
Sambungkan kebijakan ini untuk memblokir pengguna RAM dari semua operasi DataWorks—termasuk akses konsol, fitur modul layanan, dan panggilan API.
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*"
}
]
}Lampiran 2: Operasi API Blok
Sambungkan kebijakan ini untuk memblokir pengguna RAM dari memanggil semua operasi API DataWorks. Akses konsol tidak terpengaruh.
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "OpenAPI"
}
}
}
]
}Lampiran 3: Akses Modul Block Service
Sambungkan kebijakan ini untuk memblokir pengguna RAM dari mengakses modul layanan DataWorks di konsol.
Kebijakan ini hanya memblokir akses konsol ke modul layanan. Jika pengguna RAM memiliki izin untuk memanggil operasi API suatu modul layanan, panggilan API tersebut tetap diizinkan.
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "Page"
}
}
}
]
}