DataWorks mendukung pemetaan antara peran tingkat ruang kerja bawaan atau kustom dari sebuah ruang kerja dan peran instance mesin komputasi MaxCompute yang terkait. Setelah menetapkan peran tingkat ruang kerja kepada pengguna RAM, pengguna tersebut secara otomatis diberikan izin dari peran yang dipetakan dalam lingkungan pengembangan. Secara default, pengguna RAM tidak memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi. Topik ini menjelaskan izin peran tingkat ruang kerja bawaan pada instance mesin komputasi MaxCompute, informasi latar belakang tentang manajemen izin, serta cara menggunakan peran tingkat ruang kerja untuk memberikan izin kepada pengguna RAM.
Informasi Latar Belakang
DataWorks menyediakan peran tingkat ruang kerja bawaan dan memungkinkan pembuatan peran kustom. Anda dapat menetapkan peran tingkat ruang kerja kepada pengguna untuk mengontrol izin mereka pada layanan tertentu dan instance mesin komputasi MaxCompute dalam lingkungan pengembangan. Pengguna dengan peran bawaan memiliki izin otomatis dari peran yang dipetakan, sedangkan pengguna dengan peran kustom memiliki izin manual dari peran yang dipetakan.
Catatan
- Akun Alibaba Cloud memiliki izin tertinggi atas sumber dayanya. Operasi manajemen izin dalam topik ini dilakukan untuk pengguna RAM.
- Hanya pengguna RAM dengan peran Development atau Workspace Manager yang dapat membuat node dan menjalankan pernyataan untuk membuat tabel di halaman DataStudio.
Ikhtisar
| No. | Tujuan | Referensi |
| 1 | Pahami informasi dasar tentang peran tingkat ruang kerja bawaan DataWorks. | |
| 2 | Pahami bagaimana anggota ruang kerja dapat memperoleh izin pada instance mesin komputasi MaxCompute. | Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna RAM |
| 3 | Pahami operasi yang dapat dilakukan administrator ruang kerja untuk mengelola izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi. | Prosedur untuk meminta izin pada instance mesin komputasi MaxCompute di Security Center |
| 4 | Pahami cara menjalankan pernyataan untuk menanyakan izin pada instance mesin komputasi MaxCompute. | Tanyakan izin pengguna pada instance mesin komputasi MaxCompute |
Perhatian
- Untuk ruang kerja dalam mode standar, pengguna RAM yang ditambahkan sebagai anggota tidak memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi secara default. Jika ingin menanyakan tabel MaxCompute dalam lingkungan produksi sebagai pengguna RAM, Anda harus meminta izin yang diperlukan di Security Center. Untuk informasi lebih lanjut, lihat Kelola izin pada MaxCompute.
- Untuk ruang kerja dalam mode dasar, pengguna RAM yang ditambahkan ke ruang kerja memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi secara default. Dalam kasus ini, izin pada data dalam instance mesin komputasi MaxCompute tidak dapat dikelola.
Izin peran tingkat ruang kerja bawaan pada instance mesin komputasi MaxCompute
Secara default, peran tingkat ruang kerja bawaan DataWorks memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan pengembangan tetapi tidak memiliki izin dalam lingkungan produksi. Akibatnya, peran-peran ini hanya dapat digunakan untuk mengakses tabel, sumber daya, dan fungsi dalam lingkungan pengembangan.
Catatan Hanya pengguna RAM dengan peran Development atau Workspace Manager yang dapat membuat node di halaman DataStudio dan menggunakan node tersebut untuk menjalankan pernyataan guna melakukan operasi pada tabel, sumber daya, dan fungsi.
| Izin | Deskripsi |
| Izin pada instance mesin komputasi MaxCompute dalam lingkungan pengembangan | DataWorks dan MaxCompute menggunakan mode kontrol akses berbasis peran (RBAC) untuk mengelola izin. Secara default, ada pemetaan antara peran tingkat ruang kerja bawaan DataWorks dan peran instance mesin komputasi MaxCompute. Setelah menetapkan peran tingkat ruang kerja bawaan kepada anggota ruang kerja, anggota tersebut secara otomatis diberikan izin dari peran yang dipetakan. |
| Izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi | Secara default, pengguna RAM yang ditambahkan ke ruang kerja sebagai anggota tidak memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi. Semua peran tingkat ruang kerja bawaan dan kustom tidak memiliki izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi. Untuk mengakses tabel MaxCompute dalam lingkungan produksi, Anda harus meminta izin yang diperlukan di Security Center. Untuk informasi lebih lanjut, lihat Kelola izin pada MaxCompute. Catatan Hanya pengguna RAM dengan peran Development atau Workspace Manager yang dapat membuat node di halaman DataStudio dan menggunakan node tersebut untuk menjalankan pernyataan guna membuat tabel. |
Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna RAM
Dalam ruang kerja dalam mode standar, DataWorks mengelola izin akses pengguna RAM pada tabel MaxCompute untuk memastikan keamanan data dalam lingkungan produksi.
- Peroleh izin pada instance mesin komputasi MaxCompute dalam lingkungan pengembangan (otorisasi otomatis):
- Setelah anggota ruang kerja ditetapkan peran tingkat ruang kerja bawaan, anggota tersebut secara otomatis diberikan izin pada instance mesin komputasi MaxCompute. Untuk informasi lebih lanjut, lihat Skenario 1: Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna dengan menetapkan peran tingkat ruang kerja bawaan.
- Setelah anggota ruang kerja ditetapkan peran tingkat ruang kerja kustom, anggota tersebut secara otomatis diberikan izin pada instance mesin komputasi MaxCompute. Untuk informasi lebih lanjut, lihat Skenario 2: Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna dengan menetapkan peran tingkat ruang kerja kustom.
- Peroleh izin pada instance mesin komputasi MaxCompute dalam lingkungan produksi (otorisasi manual): Anda harus pergi ke Security Center dan meminta izin yang diperlukan untuk anggota tersebut. Tabel berikut menjelaskan skenario di mana metode otorisasi jenis ini diperlukan. Untuk informasi tentang cara meminta izin di Security Center, lihat Kelola izin pada MaxCompute.
Skenario Deskripsi Anda ingin mengakses tabel dalam lingkungan produksi ruang kerja sebagai pengguna RAM dalam lingkungan pengembangan. 
Secara default, jika pengguna RAM yang ingin Anda gunakan tidak ditetapkan sebagai identitas yang digunakan untuk mengakses instance mesin komputasi MaxCompute dalam lingkungan produksi, Anda tidak dapat melakukan operasi pada tabel dalam lingkungan produksi ruang kerja di halaman DataStudio sebagai pengguna RAM. Untuk melakukan operasi pada tabel di halaman DataStudio sebagai pengguna RAM, Anda harus meminta izin yang diperlukan untuk pengguna RAM di Security Center.
Anda ingin mengakses tabel dalam lingkungan pengembangan atau produksi Ruang Kerja B di halaman DataStudio Ruang Kerja A sebagai pengguna RAM dalam lingkungan pengembangan atau produksi Ruang Kerja A. 
Secara default, Anda tidak dapat menggunakan pengguna RAM di Ruang Kerja A untuk mengakses tabel dalam lingkungan pengembangan atau produksi Ruang Kerja B di halaman DataStudio Ruang Kerja A. Jika Anda ingin menggunakan pengguna RAM di Ruang Kerja A untuk mengakses tabel dalam lingkungan pengembangan atau produksi Ruang Kerja B, Anda harus meminta izin yang diperlukan untuk pengguna RAM di Security Center.
Prosedur untuk meminta izin pada instance mesin komputasi MaxCompute di Security Center
Jika Anda ingin mengakses data dalam instance mesin komputasi MaxCompute dalam lingkungan produksi sebagai pengguna RAM, Anda harus memulai permintaan izin untuk pengguna RAM dan memastikan bahwa izin tersebut diberikan kepada pengguna RAM. Administrator ruang kerja dapat mengelola izin pada data dalam lingkungan produksi.
- Anda dapat meminta izin pada tabel dalam lingkungan produksi untuk pengguna RAM di Security Center.
- Security Center memungkinkan Anda menyesuaikan prosedur pemrosesan permintaan.
Tanyakan izin pengguna pada instance mesin komputasi MaxCompute
Anda dapat menjalankan pernyataan berikut dalam node ODPS SQL untuk menanyakan izin pengguna pada instance mesin komputasi MaxCompute:
show grants: menanyakan izin akses Anda pada instance mesin komputasi MaxCompute.show grants for <username>: menanyakan izin akses pengguna tertentu pada instance mesin komputasi MaxCompute. Anda dapat menjalankan pernyataan ini hanya jika Anda ditetapkan peran Workspace Manager.
Lampiran: Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna dengan menetapkan peran tingkat ruang kerja
Skenario 1: Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna dengan menetapkan peran tingkat ruang kerja bawaan
- Logika dasar: Jika pengguna RAM ditambahkan ke ruang kerja sebagai anggota dan ditetapkan peran tingkat ruang kerja bawaan, anggota tersebut secara otomatis ditetapkan peran yang dipetakan dari instance mesin komputasi MaxCompute yang terkait dengan ruang kerja. Dengan cara ini, anggota tersebut juga diberikan izin dari peran MaxCompute yang dipetakan. Untuk informasi tentang pemetaan antara peran tingkat ruang kerja bawaan DataWorks dan peran instance mesin komputasi MaxCompute, lihat Lampiran: Pemetaan antara peran tingkat ruang kerja bawaan DataWorks dan peran MaxCompute.
- Contoh skenario: Pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota oleh pengguna yang ditetapkan peran Workspace Manager, dan pengguna RAM ditetapkan peran tingkat ruang kerja bawaan Development.Catatan Untuk informasi tentang cara menambahkan pengguna ke ruang kerja sebagai anggota dan memberikan izin kepada anggota, lihat Kelola izin pada layanan tingkat ruang kerja.
Setelah pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota dan ditetapkan peran Development, pengguna RAM memiliki izin tertentu pada layanan DataWorks dan instance mesin komputasi MaxCompute yang terkait dengan ruang kerja.
- DataWorks: Setelah peran Development ditetapkan kepada pengguna RAM, pengguna RAM dapat mengembangkan dan mengirim kode node dalam ruang kerja tetapi tidak dapat menerapkan kode node ke lingkungan produksi. Hanya peran Project Owner, Workspace Manager, dan O&M yang memiliki izin untuk menerapkan kode node ke lingkungan produksi.
- MaxCompute: Setelah peran Development ditetapkan kepada pengguna RAM, peran Role_Project_Dev dari instance mesin komputasi MaxCompute ditetapkan kepada pengguna RAM. Peran Role_Project_Dev memiliki izin tertentu pada proyek MaxCompute dalam lingkungan pengembangan dan tabel dalam proyek.Catatan
- Anda dapat menetapkan peran Workspace Manager kepada pengguna RAM untuk memberikan pengguna RAM berbagai izin pada DataWorks. Namun, pengguna RAM masih tidak dapat mengakses tabel dalam lingkungan produksi.
- Pengguna RAM mengacu pada pengguna RAM yang tidak ditetapkan sebagai identitas yang digunakan untuk mengakses proyek MaxCompute dalam lingkungan produksi.
Skenario 2: Berikan izin pada instance mesin komputasi MaxCompute kepada pengguna dengan menetapkan peran tingkat ruang kerja kustom
Contoh skenario: Pengguna RAM ditambahkan ke ruang kerja DataWorks sebagai anggota oleh pengguna yang ditetapkan peran Workspace Manager, dan pengguna RAM ditetapkan peran tingkat ruang kerja kustom.
Ketika Anda membuat peran tingkat ruang kerja kustom, Anda dapat menentukan apakah akan memetakan peran ini ke peran instance mesin komputasi MaxCompute yang terkait dengan ruang kerja. Setelah peran tingkat ruang kerja kustom dibuat, Anda dapat menetapkan peran tersebut kepada pengguna RAM ketika Anda menambahkan pengguna RAM ke ruang kerja sebagai anggota. Setelah peran tingkat ruang kerja kustom ditetapkan kepada pengguna RAM, pengguna RAM diberikan izin tertentu pada layanan DataWorks dan instance mesin komputasi MaxCompute.
Ketika Anda membuat peran tingkat ruang kerja kustom, Anda dapat menentukan apakah akan memetakan peran ini ke peran instance mesin komputasi MaxCompute yang terkait dengan ruang kerja. Setelah peran tingkat ruang kerja kustom dibuat, Anda dapat menetapkan peran tersebut kepada pengguna RAM ketika Anda menambahkan pengguna RAM ke ruang kerja sebagai anggota. Setelah peran tingkat ruang kerja kustom ditetapkan kepada pengguna RAM, pengguna RAM diberikan izin tertentu pada layanan DataWorks dan instance mesin komputasi MaxCompute.Catatan Untuk informasi tentang cara membuat peran tingkat ruang kerja kustom, lihat Kelola izin pada layanan tingkat ruang kerja. Untuk informasi tentang cara menambahkan pengguna RAM ke ruang kerja sebagai anggota dan memberikan izin kepada anggota, lihat Kelola izin pada layanan tingkat ruang kerja.
- DataWorks: Setelah peran tingkat ruang kerja kustom ditetapkan kepada pengguna RAM, pengguna RAM diberikan izin pada layanan DataWorks tempat peran tingkat ruang kerja kustom dapat melakukan operasi.
- MaxCompute:
- Jika peran tingkat ruang kerja kustom tidak dipetakan ke peran instance mesin komputasi MaxCompute, pengguna RAM tidak memiliki izin pada instance mesin komputasi MaxCompute. Pengguna RAM tidak dapat menanyakan objek dalam instance mesin komputasi MaxCompute dengan menjalankan perintah.
- Jika peran tingkat ruang kerja kustom dipetakan ke peran instance mesin komputasi MaxCompute, pengguna RAM memiliki izin dari peran MaxCompute yang dipetakan.
Catatan Jika pengguna RAM ditetapkan sebagai identitas yang digunakan untuk mengakses instance mesin komputasi MaxCompute dalam lingkungan produksi, pengguna RAM dapat mengakses tabel dalam instance mesin komputasi MaxCompute setelah pengguna RAM ditambahkan ke ruang kerja yang terkait dengan instance mesin komputasi MaxCompute. Sebaliknya, pengguna RAM tidak dapat mengakses tabel dalam lingkungan produksi. Jika pengguna RAM ingin mengakses tabel dalam lingkungan produksi, pengguna RAM harus diberikan izin yang diperlukan di Security Center. Untuk informasi lebih lanjut tentang cara meminta izin di Security Center, lihat Permintaan izin pada tabel di Security Center (versi terbaru). Untuk informasi tentang identitas yang dapat digunakan untuk mengakses instance mesin komputasi MaxCompute, lihat Kelola ruang kerja.
FAQ
Untuk informasi tentang masalah terkait manajemen izin untuk MaxCompute, lihat FAQ tentang manajemen izin.
Lampiran: Tanyakan izin menggunakan MaxCompute SQL
MaxCompute memungkinkan Anda menanyakan izin pengguna atau peran, atau izin pada objek menggunakan MaxCompute SQL. Untuk informasi lebih lanjut, lihat Tanyakan izin menggunakan MaxCompute SQL.