DataWorks menggunakan role-based access control (RBAC) untuk mengelola akses dan administrasi terhadap layanan tingkat global—yaitu layanan yang tidak terbatas pada satu ruang kerja saja, seperti Data Map. Dengan menetapkan role tingkat penyewa kepada Pengguna RAM, Anda dapat mengontrol apakah mereka dapat mengakses layanan tingkat global tertentu serta tindakan yang dapat mereka lakukan di dalamnya.
Cara kerja layanan tingkat global
Layanan tingkat global adalah layanan DataWorks yang tidak mencantumkan nama ruang kerja di bilah navigasi atas. Data Map merupakan salah satu contohnya. Layanan ini berlaku dalam cakupan penyewa, bukan dalam cakupan ruang kerja.
Secara default, semua Pengguna RAM dan role dalam Akun Alibaba Cloud yang digunakan untuk masuk ke Konsol DataWorks menjadi anggota penyewa dan dapat mengakses sebagian besar layanan tingkat penyewa. Untuk memberikan atau membatasi akses tertentu—misalnya memberikan izin manajemen atas Security Center atau sepenuhnya memblokir akses ke Data Map—tetapkan role tingkat penyewa yang sesuai kepada pengguna tersebut.
Untuk ikhtisar lengkap tentang cara DataWorks menyusun sistem izinnya, lihat Ikhtisar sistem pengelolaan izin DataWorks.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Akun Alibaba Cloud, role Tenant Administrator, atau Pengguna RAM dengan kebijakan AliyunDataWorksFullAccess atau AdministratorAccess yang telah disambungkan
Hanya ruang kerja DataWorks Edisi Perusahaan yang mendukung role kustom tingkat penyewa. Jika ruang kerja Anda bukan Edisi Perusahaan, bandingkan edisi DataWorks dan upgrade edisi Anda sebelum melanjutkan.
Role tingkat penyewa untuk layanan tingkat global
DataWorks menyediakan role bawaan tingkat penyewa dengan izin yang telah ditentukan sebelumnya, serta memungkinkan Anda membuat role kustom tingkat penyewa untuk mengontrol akses secara lebih rinci.
Role bawaan tingkat penyewa
Role berikut disediakan secara otomatis dan tidak dapat diubah.
| Role | Izin |
|---|---|
| Tenant Owner | Izin tertinggi di DataWorks. Hanya dapat dipegang oleh Akun Alibaba Cloud. Memiliki izin penuh (view, read, write, manage) di semua layanan tingkat global dan dapat menetapkan role kepada anggota penyewa mana pun. |
| Tenant Administrator | Izin tertinggi pada layanan tingkat penyewa. Memiliki izin penuh (view, read, write, manage) di semua layanan tingkat global dan dapat menetapkan role kepada anggota penyewa. Tidak dapat melakukan operasi kontrol dan manajemen di Konsol DataWorks. Untuk operasi tersebut, lihat Mengelola izin pada layanan DataWorks menggunakan kebijakan RAM. |
| Tenant User | Ditetapkan secara default kepada semua Pengguna RAM dan role dalam Akun Alibaba Cloud. Memiliki izin view, read, dan write pada layanan tingkat penyewa. Secara default tidak memiliki izin manajemen. Tetapkan role tambahan untuk memberikan akses manajemen. |
| Security Administrator | Izin penuh (view, read, write, manage) pada Security Center dan Data Security Guard. Dapat mengonfigurasi kebijakan persetujuan kustom di Approval Center. |
| Compliance Manager | Dapat mendeteksi risiko transmisi data lintas batas dan meninjau permintaan evaluasi mandiri untuk transmisi data lintas batas. |
| OpenPlatform Administrator | Izin read dan write pada developer backend. |
| Data Governance Administrator | Izin read dan write pada Data Governance Center, termasuk izin untuk melihat laporan penilaian tata kelola, isu tata kelola data yang terdeteksi, serta event pemeriksaan, dan melakukan operasi perbaikan terkait. Beberapa operasi di Data Governance Center juga memerlukan role dan izin dari layanan terkait—lihat Ikhtisar Data Governance Center. |
Role kustom tingkat penyewa
Role kustom memungkinkan Anda memberikan atau menolak akses ke layanan tingkat global tertentu di luar cakupan role bawaan. Layanan tingkat global berikut mendukung pengaturan izin kustom.
| Layanan tingkat global | Opsi izin |
|---|---|
| Data Security Guard | No Permissions: tolak akses. Available: semua izin read-only dan manajemen. |
| Data Map | No Permissions: tolak akses. Available: izin reguler. Untuk kontrol akses metadata—seperti menyembunyikan metadata proyek atau membatasi anggota non-ruang kerja agar tidak mengakses tabel—lihat Lampiran: Ikhtisar pengelolaan izin di Data Map. |
| Data Governance Center | No Permissions: tolak akses. Available: izin reguler dan izin tata kelola data. |
| DataAnalysis | No Permissions: tolak akses. Available: izin reguler. |
| Approval Center | No Permissions: tolak akses. Available: izin reguler dan izin untuk mengelola proses persetujuan. |
| Security Center | No Permissions: tolak akses. Available: izin reguler. |
Menetapkan role tingkat penyewa kepada anggota
Gunakan halaman Tenant Members and Roles untuk membuat role kustom dan menetapkan role kepada anggota penyewa. Hanya pengguna dengan Akun Alibaba Cloud, role Tenant Administrator, atau kebijakan AliyunDataWorksFullAccess atau AdministratorAccess yang dapat melakukan langkah-langkah berikut.
Langkah 1: Buka halaman Tenant Members and Roles
Di panel navigasi kiri halaman Management Center, klik Tenant Members and Roles.
Langkah 2: (Opsional) Buat role kustom tingkat penyewa
Lewati langkah ini jika role bawaan sudah memenuhi kebutuhan Anda.
Di tab Tenant Roles, klik Create Custom Role.
Di kotak dialog Create Custom Role, masukkan nama role dan konfigurasikan pengaturan izin untuk setiap layanan tingkat global.
Klik Create. Jika muncul pesan Created, artinya role kustom siap ditetapkan.
Langkah 3: Tetapkan role kepada anggota
Klik tab Tenant Members.
Di kolom Role untuk suatu anggota, tetapkan atau hapus role tingkat penyewa sesuai kebutuhan.