全部产品
Search

搜索本产品

    DataWorks:Buat kebijakan kustom

    文档中心

    DataWorks:Buat kebijakan kustom

    更新时间:Jul 02, 2025

    DataWorks memungkinkan Anda membuat kebijakan kustom dan melampirkannya ke pengguna RAM untuk manajemen izin yang lebih rinci. Setelah melampirkan kebijakan kustom ke pengguna RAM, pengguna tersebut diberikan izin sesuai dengan definisi dalam kebijakan. Topik ini menjelaskan cara menggunakan kebijakan kustom untuk mengelola izin pada layanan DataWorks dan entitas di Konsol DataWorks, serta memberikan contoh penerapannya.

    Prasyarat

    Peringatan

    Dalam topik ini, kebijakan kustom digunakan. Setelah membuat dan melampirkannya ke pengguna RAM, pengguna RAM akan memiliki izin untuk melakukan operasi terkait. Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Berikan Izin kepada Pengguna RAM.

    Kebijakan kustom yang digunakan untuk mengelola izin pada layanan DataWorks

    Kebijakan kustom 1: Larang pengguna RAM melakukan semua operasi

    Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM melakukan semua operasi ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat menggunakan fitur apa pun di DataWorks, seperti melakukan operasi di Konsol DataWorks, menggunakan layanan, atau memanggil API.

    Contoh kebijakan:

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*"
        }
    ]
}

    Kebijakan kustom 2: Larang pengguna RAM memanggil operasi API

    Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM memanggil operasi API ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat memanggil operasi API DataWorks.

    Contoh kebijakan:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "dataworks:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "dataworks:Scope": "OpenAPI"
        }
      }
    }
  ]
}

    Kebijakan kustom 3: Larang pengguna RAM mengakses layanan DataWorks

    Administrator ruang kerja dapat melampirkan kebijakan yang melarang pengguna RAM mengakses layanan DataWorks ke pengguna RAM. Setelah kebijakan dilampirkan, pengguna RAM tidak dapat mengakses layanan DataWorks.

    Catatan

    Kebijakan ini hanya melarang pengguna RAM mengakses layanan. Jika pengguna RAM diberikan izin untuk memanggil operasi API layanan tertentu, mereka tetap dapat memanggil operasi API tersebut.

    Contoh kebijakan:

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dataworks:Scope": "Page"
                }
            }
        }
    ]
}

    Kebijakan kustom yang digunakan untuk mengelola izin pada entitas di Konsol DataWorks

    Kebijakan kustom untuk mengelola izin pada operasi di Konsol DataWorks dapat dikategorikan berdasarkan jenis sumber daya.

    Catatan

    Sebelum mengonfigurasi elemen Resource dalam kebijakan kustom, perhatikan hal-hal berikut:

    • Saat membuat kebijakan kustom, ganti konten yang dimulai dengan placeholder $ di kolom Resource tabel berikut dengan ID sebenarnya. Sebagai contoh, ganti $regionid dengan ID wilayah dan $accountid dengan UID akun Alibaba Cloud.

    • Tanda bintang (*) adalah wildcard. Anda dapat menggantinya dengan nilai spesifik untuk mempersempit cakupan manajemen izin. Sebagai contoh, jika Anda mengganti workspace/* dengan workspace/workspaceid, kebijakan tersebut akan berlaku di ruang kerja yang ditentukan.

    Jenis entitas 1: Ruang kerja

    工作空间

    Action

    Resource

    Deskripsi

    CreateWorkspace

    acs:dataworks:$regionid:$accountid:workspace/*

    Membuat ruang kerja.

    ModifyWorkspace

    acs:dataworks:$regionid:$accountid:workspace/$workspaceName

    Memodifikasi ruang kerja.

    DeleteWorkspace

    acs:dataworks:$regionid:$accountid:workspace/$workspaceName

    Menghapus ruang kerja.

    DisableWorkspace

    acs:dataworks:$regionid:$accountid:workspace/$workspaceName

    Menonaktifkan ruang kerja.

    EnableWorkspace

    acs:dataworks:$regionid:$accountid:workspace/$workspaceName

    Mengaktifkan ruang kerja.

    Contoh: Mengizinkan Peran Kustom untuk Memodifikasi Ruang Kerja

    Contoh kebijakan:

    {
    "Statement": [
        {
            "Action": "dataworks:ModifyWorkspace",
            "Effect": "Allow",
            "Resource": "acs:dataworks:$regionid:$accountid:workspace/$workspaceName"
        }
    ],
    "Version": "1"
}

    Jenis entitas 2: Grup sumber daya

    资源组

    Action

    Resource

    Deskripsi

    Peringatan

    ListResourceGroup

    acs:dataworks:$regionid:$accountid:exclusive_resource_group/*

    Menampilkan tab Grup Sumber Daya Eksklusif di Konsol DataWorks. Jika pengguna RAM tidak diberikan izin ini, tab Grup Sumber Daya Eksklusif tidak akan terlihat oleh pengguna RAM di Konsol DataWorks.

    Izin ListResourceGroup dan ShowResourceGroupDetail sering digunakan bersama untuk menentukan apakah pengguna RAM dapat melihat grup sumber daya eksklusif.

    • Jika pengguna RAM hanya diberikan izin ListResourceGroup, tab Grup Sumber Daya Eksklusif akan ditampilkan tetapi tab tersebut kosong.

    • Jika pengguna RAM diberikan izin ListResourceGroup dan ShowResourceGroupDetail, tab Grup Sumber Daya Eksklusif akan ditampilkan. Di tab tersebut, pengguna RAM dapat melihat detail grup sumber daya yang ditentukan oleh aksi ShowResourceGroupDetail.

    Catatan

    • Sebelum Anda memberikan izin ShowResourceGroupDetail kepada pengguna RAM, Anda harus memberikan izin ListResourceGroup kepada pengguna RAM. Jika pengguna RAM hanya diberikan izin ShowResourceGroupDetail, pengguna RAM tidak dapat melihat detail grup sumber daya eksklusif.

    • Kebijakan AliyunDataWorksReadOnlyAccess mencakup izin ListResourceGroup dan ShowResourceGroupDetail.

    ShowResourceGroupDetail

    acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName

    Menampilkan detail grup sumber daya yang ditentukan.

    CreateResourceGroup

    acs:dataworks:$regionid:$accountid:exclusive_resource_group/*

    Membuat grup sumber daya eksklusif.

    Izin ini hanya memungkinkan pengguna RAM membuat grup sumber daya di Konsol DataWorks berdasarkan ID pesanan pembelian. Izin ini tidak memungkinkan pengguna RAM membeli sumber daya eksklusif. Untuk mengizinkan pengguna RAM membeli, menskalakan, atau memperpanjang grup sumber daya atau mengubah spesifikasi grup sumber daya, Anda harus melampirkan kebijakan AliyunDataWorksFullAccess dan AliyunBSSOrderAccess kepada pengguna RAM.

    ModifyResourceGroup

    acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName

    Memodifikasi grup sumber daya eksklusif.

    -

    • Contoh 1: Mengizinkan Peran Kustom untuk Melihat dan Mengelola Grup Sumber Daya Eksklusif

      Contoh kebijakan:

      {
"Statement": [
{
"Action": "dataworks:ListResourceGroup",
"Effect": "Allow",
"Resource": "acs:dataworks:*:1111:exclusive_resource_group/*"
},
{
"Action": "dataworks:ShowResourceGroupDetail",
"Effect": "Allow",
"Resource": "acs:dataworks:*:11111:exclusive_resource_group/resourceGroupName2"
},
{
"Action": "dataworks:ModifyResourceGroup",
"Effect": "Allow",
"Resource": "acs:dataworks:*:111:exclusive_resource_group/resourceGroupName2"
}
],
"Version": "1"
}

    • Contoh 2: Mengizinkan Peran Kustom untuk Melihat Grup Sumber Daya di Wilayah China (Shanghai) dan Membuat serta Memodifikasi Grup Sumber Daya Eksklusif

      Catatan

      Dalam contoh ini, pengguna RAM yang diberikan izin terkait dapat membuat grup sumber daya berdasarkan ID pesanan pembelian tetapi tidak dapat membeli sumber daya eksklusif.

      Contoh kebijakan:

      {
  "Statement": [
    {
      "Action": "dataworks:ListResourceGroup",
      "Effect": "Allow",
      "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/*"
    },
    {
      "Action": "dataworks:ShowResourceGroupDetail",
      "Effect": "Allow",
      "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*"
    },
    {
      "Action": "dataworks:CreateResourceGroup",
      "Effect": "Allow",
      "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*"
    },
    {
      "Action": "dataworks:ModifyResourceGroup",
      "Effect": "Allow",
      "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName1"
    },
    {
      "Action": "dataworks:ModifyResourceGroup",
      "Effect": "Allow",
      "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName2"
    }
  ],
  "Version": "1"
}

    Jenis entitas 3: Informasi peringatan

    报警信息

    Action

    Resource

    Deskripsi

    ListContacts

    acs:dataworks:$regionid:$accountid:contacts_ram_user/*

    Menampilkan daftar kontak peringatan.

    ModifyContacts

    acs:dataworks:$regionid:$accountid:contacts_ram_user/*

    Memodifikasi informasi kontak peringatan.

    ListAlarmResource

    acs:dataworks:$regionid:$accountid:alarm_resource/*

    Menampilkan daftar sumber daya peringatan.

    SetUpperLimits

    acs:dataworks:$regionid:$accountid:alarm_resource/*

    Menetapkan batas atas untuk penggunaan sumber daya peringatan.

    Contoh: Mengizinkan Peran Kustom untuk Melihat Sumber Daya Peringatan, Menetapkan Batas Atas untuk Penggunaan Sumber Daya Peringatan, dan Melihat Kontak Peringatan

    Contoh kebijakan:

    {
  "Statement": [
    {
      "Action": "dataworks:ListAlarmResource",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "dataworks:SetUpperLimits",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:alarm_resource/*"
    },
    {
      "Action": "dataworks:ListContacts",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
    },
    {
      "Action": "dataworks:ModifyContacts",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
    }
  ],
  "Version": "1"
}