DataWorks memberikan izin mesin komputasi MaxCompute kepada pengguna Resource Access Management (RAM) dengan memetakan peran ruang kerja bawaan atau kustom ke peran mesin komputasi di lingkungan pengembangan. Pengguna RAM yang diberi peran ruang kerja akan mewarisi izin dari peran mesin komputasi yang dipetakan tersebut. Secara default, pengguna RAM tidak memiliki izin di lingkungan produksi. Topik ini menjelaskan izin dasar peran bawaan, latar belakang kontrol izin MaxCompute, dan cara memperoleh izin.
Informasi latar belakang
DataWorks menyediakan peran ruang kerja bawaan dan mendukung peran ruang kerja kustom. Peran-peran ini mengontrol akses pengguna ke modul tingkat ruang kerja serta izin untuk proyek mesin komputasi di lingkungan pengembangan. Anda dapat memberikan izin untuk proyek mesin komputasi di lingkungan pengembangan kepada peran bawaan maupun kustom melalui otorisasi default atau manual.
Akun Alibaba Cloud memiliki izin penuh atas semua sumber daya cloud yang dimilikinya. Kontrol izin yang dijelaskan dalam topik ini terutama berlaku untuk pengguna RAM.
Untuk peran bawaan, hanya pengguna RAM dengan peran Developer atau Admin ruang kerja yang dapat membuat node dan menjalankan perintah pembuatan tabel di DataWorks Data Studio.
Alur kerja
No. | Tujuan | Dokumen terkait |
1 | Memahami izin dasar dari peran DataWorks yang telah ditentukan. | |
2 | Memahami cara anggota ruang kerja DataWorks mendapatkan izin mesin komputasi. | |
3 | Memahami kontrol izin yang dapat diterapkan administrator pada lingkungan produksi. | |
4 | Memahami cara melihat izin mesin komputasi menggunakan perintah. |
Catatan
Pada ruang kerja mode standar, pengguna RAM secara default tidak memiliki izin untuk proyek produksi. Untuk melakukan kueri tabel di lingkungan produksi, pengguna RAM harus mengajukan permohonan izin di Security Center. Untuk informasi lebih lanjut, lihat Kontrol akses data MaxCompute.
Pada ruang kerja mode dasar, pengguna RAM secara default memiliki semua izin atas proyek tersebut. Oleh karena itu, kontrol izin data tidak dapat diterapkan.
Izin dasar peran yang telah ditentukan
Secara default, peran tingkat ruang kerja bawaan di DataWorks memiliki izin akses ke proyek mesin komputasi di lingkungan pengembangan tetapi tidak dapat langsung mengakses proyek mesin komputasi di lingkungan produksi. Artinya, pengguna dengan peran-peran ini dapat langsung mengakses tabel, resource, dan fungsi di lingkungan pengembangan, tetapi tidak di lingkungan produksi.
Untuk peran bawaan, hanya pengguna RAM dengan peran Developer atau Admin ruang kerja yang dapat membuat node di DataWorks Data Studio untuk menjalankan perintah yang beroperasi pada tabel, resource, dan fungsi.
Skenario | Deskripsi |
Izin mesin komputasi MaxCompute untuk lingkungan pengembangan | Sistem kontrol akses berbasis peran (RBAC) DataWorks dipetakan ke sistem RBAC MaxCompute. Ketika anggota ruang kerja DataWorks diberikan peran ruang kerja bawaan, anggota tersebut juga diberikan izin dari peran mesin komputasi yang dipetakan. |
Izin mesin komputasi MaxCompute untuk lingkungan produksi | Secara default, pengguna RAM tidak dapat melakukan operasi secara langsung di lingkungan produksi. Baik peran ruang kerja DataWorks bawaan maupun kustom tidak memiliki izin mesin MaxCompute untuk lingkungan produksi. Untuk melakukan operasi di lingkungan ini, seperti mengakses baris dalam tabel MaxCompute, Anda harus mengajukan permohonan izin di Security Center. Untuk informasi lebih lanjut, lihat Kontrol akses data MaxCompute. Catatan Untuk peran bawaan, hanya pengguna RAM dengan peran Developer atau Admin ruang kerja yang dapat membuat node di DataWorks Data Studio untuk menjalankan perintah pembuatan tabel. |
Cara pengguna RAM mendapatkan izin mesin komputasi
Untuk menjamin keamanan data produksi, DataWorks mengontrol cara pengguna RAM mengakses tabel MaxCompute di ruang kerja mode standar.
Memperoleh izin pada proyek pengembangan (otorisasi otomatis):
Anggota ruang kerja diberikan izin proyek mesin komputasi saat diberi peran bawaan. Untuk informasi lebih lanjut, lihat Skenario 1: Memberikan izin menggunakan peran tingkat ruang kerja bawaan.
Anggota ruang kerja diberikan izin proyek mesin komputasi saat diberi peran kustom. Untuk informasi lebih lanjut, lihat Skenario 2: Memberikan izin menggunakan peran ruang kerja kustom.
Anda harus secara manual mengajukan permohonan izin untuk proyek produksi di Security Center. Tabel berikut menjelaskan skenarionya. Untuk informasi lebih lanjut, lihat Kontrol akses data MaxCompute.
Skenario
Deskripsi
Pengguna di lingkungan pengembangan mengakses tabel di lingkungan produksi dalam ruang kerja yang sama
Jika pengguna RAM DataWorks tidak ditambahkan sebagai identitas akses mesin komputasi produksi, pengguna tersebut tidak dapat langsung melakukan operasi pada tabel di lingkungan produksi ruang kerja tersebut dari antarmuka Data Studio. Jika pengguna RAM memerlukan izin atas tabel produksi, pengguna tersebut harus mengajukan permohonan di Security Center. Setelah permohonan disetujui, pengguna dapat melakukan operasi terkait pada tabel tersebut dari antarmuka Data Studio.
Pengguna di lingkungan pengembangan atau produksi mengakses tabel di lingkungan pengembangan atau produksi ruang kerja lain
Secara default, pengguna RAM yang bukan anggota ruang kerja tidak dapat mengakses tabel pengembangan atau produksi lintas proyek dari antarmuka Data Studio. Untuk melakukan operasi pada tabel pengembangan atau produksi lintas proyek, pengguna RAM tersebut harus mengajukan permohonan di Security Center. Setelah permohonan disetujui, pengguna dapat melakukan operasi terkait pada tabel tersebut dari antarmuka Data Studio.
Kontrol izin data MaxCompute
Jika pengguna RAM perlu mengakses data produksi, diperlukan proses persetujuan. Administrator dapat mengontrol izin untuk lingkungan produksi.
Security Center memiliki alur persetujuan bawaan untuk izin atas tabel produksi.
Approval Center mendukung alur persetujuan kustom.
Lihat izin mesin MaxCompute
Di node SQL MaxCompute, Anda dapat menjalankan pernyataan berikut untuk mengkueri informasi izin Anda.
show grants: Melihat izin akses Anda sendiri.show grants for <username>: Melihat izin akses pengguna tertentu. Hanya administrator ruang kerja yang dapat menjalankan perintah ini.
Lampiran: Proses otorisasi peran ruang kerja
Skenario 1: Memberikan izin menggunakan peran tingkat ruang kerja yang telah ditentukan
Implementasi: Saat pengguna RAM ditambahkan ke ruang kerja dan diberikan peran ruang kerja bawaan, peran dasar MaxCompute secara otomatis ditetapkan untuk pengguna tersebut. Hal ini memberikan pengguna izin yang sesuai dengan peran dasar tersebut. Untuk informasi lebih lanjut tentang pemetaan antara peran bawaan dan peran dasar, lihat Lampiran: Pemetaan antara peran tingkat ruang kerja bawaan dan izin mesin MaxCompute.
Sebagai contoh, administrator ruang kerja menambahkan pengguna RAM sebagai anggota ruang kerja dan memberikan peran Developer kepada pengguna tersebut.
CatatanUntuk informasi tentang cara menambahkan anggota dan memberikan izin, lihat Kontrol izin modul tingkat ruang kerja.
Setelah anggota ditambahkan, pengguna RAM memiliki izin tertentu di DataWorks dan mesin komputasi MaxCompute. Daftar berikut menjelaskan operasi yang dapat dilakukan pengguna RAM di DataWorks dan mesin komputasi MaxCompute.
Di DataWorks, pengguna RAM yang diberikan peran Developer dapat mengembangkan dan mengirimkan kode. Namun, mereka tidak dapat langsung menerbitkan kode ke lingkungan produksi. Menerbitkan kode ke lingkungan produksi memerlukan izin O&M. Peran Project Owner, Admin, dan O&M memiliki izin ini.
Di mesin MaxCompute, saat pengguna RAM diberikan peran Developer, pengguna tersebut juga diberikan peran Role_Project_Dev. Peran ini memberikan beberapa izin atas proyek pengembangan dan tabel-tabelnya.
CatatanSaat pengguna RAM diberikan peran Admin bawaan, pengguna tersebut memiliki lebih banyak izin fitur DataWorks tetapi tetap tidak dapat langsung mengakses tabel produksi.
Pengguna RAM yang disebutkan di sini mengacu pada pengguna RAM yang tidak ditentukan sebagai identitas akses mesin komputasi non-penjadwalan (identitas akses MaxCompute proyek produksi).
Skenario 2: Memberikan izin menggunakan peran ruang kerja kustom
Contoh: Pengguna dengan izin administrator ruang kerja menambahkan pengguna RAM sebagai anggota ruang kerja dan memberikan peran ruang kerja DataWorks kustom kepada pengguna RAM tersebut.
Saat membuat peran ruang kerja DataWorks kustom, Anda dapat menentukan apakah peran ini dipetakan ke peran mesin komputasi MaxCompute. Setelah peran dibuat, Anda dapat mengaitkannya dengan anggota saat menambahkan anggota tersebut. Setelah anggota ditambahkan, pengguna RAM memiliki izin tertentu di DataWorks dan mesin komputasi MaxCompute. Daftar berikut menjelaskan operasi yang dapat dilakukan pengguna RAM di DataWorks dan mesin komputasi MaxCompute.
Untuk informasi tentang cara membuat peran DataWorks kustom, lihat Kontrol izin modul tingkat ruang kerja. Untuk informasi tentang cara menambahkan anggota dan memberikan izin, lihat Kontrol izin modul tingkat ruang kerja.
Di DataWorks: Jika pengguna RAM diberikan peran DataWorks kustom, pengguna tersebut hanya dapat mengakses modul-modul yang memiliki izin dalam peran kustom tersebut.
Di mesin komputasi MaxCompute:
Jika peran DataWorks kustom tidak dipetakan ke izin mesin komputasi, pengguna RAM tidak memiliki izin operasi pada mesin komputasi MaxCompute dan tidak dapat menjalankan perintah untuk melakukan operasi seperti kueri.
Jika peran DataWorks kustom dipetakan ke izin mesin komputasi, pengguna RAM memiliki izin dari peran mesin komputasi yang dipetakan. Izin operasi pengguna sama dengan izin peran mesin komputasi MaxCompute yang dipetakan tersebut.
Secara default, pengguna RAM yang ditambahkan sebagai anggota ruang kerja tidak memiliki izin operasi di lingkungan produksi, kecuali jika pengguna tersebut ditentukan sebagai identitas akses mesin penjadwalan (identitas akses MaxCompute proyek produksi). Untuk melakukan operasi dan mengakses tabel produksi, pengguna harus mengajukan permohonan izin di Security Center. Untuk informasi lebih lanjut, lihat Ajukan permohonan izin atas tabel di Security Center baru. Untuk informasi lebih lanjut tentang identitas akses MaxCompute, lihat Konfigurasi ruang kerja.
FAQ
Untuk informasi tentang error umum terkait izin, lihat FAQ tentang pengelolaan izin.
Lampiran: Kueri informasi izin menggunakan SQL MaxCompute
MaxCompute memungkinkan Anda menggunakan pernyataan SQL untuk mengkueri informasi izin tentang pengguna, peran, dan objek. Untuk informasi lebih lanjut, lihat Kueri informasi izin menggunakan SQL MaxCompute.
Langkah selanjutnya
MaxCompute memungkinkan Anda mengakses resource lintas proyek. Oleh karena itu, di DataWorks, developer dapat langsung mengakses resource di lingkungan produksi dari antarmuka Data Studio. Untuk informasi lebih lanjut tentang cara anggota ruang kerja dapat mengakses resource lintas proyek, lihat Akses resource dan izin MaxCompute di ruang kerja dengan mode berbeda.