Konfigurasi kebijakan RAM untuk mengamankan akses konsol DataWorks - DataWorks - Alibaba Cloud - DataWorks

Di DataWorks, baik service-level permission control maupun management console permission control menggunakan kebijakan Resource Access Management (RAM) Alibaba Cloud. Anda dapat menyambungkan kebijakan RAM ke pengguna, seperti RAM user atau RAM role, untuk memberikan izin yang ditentukan dalam kebijakan tersebut. Topik ini menjelaskan kebijakan izin yang didukung oleh DataWorks serta cara Akun Alibaba Cloud memberikan kebijakan ini kepada pengguna.

Izin tingkat layanan: kebijakan sistem dan kustom

Secara default, hanya Akun Alibaba Cloud yang memiliki izin tingkat layanan untuk DataWorks. Jika Anda ingin RAM user mengelola layanan tersebut, Anda dapat memberikan kebijakan sistem berikut, yang memberikan RAM user izin operasional setara dengan Akun Alibaba Cloud.

Jenis	Cakupan	Nama kebijakan	Deskripsi	Dokumentasi
Aksi yang diizinkan untuk RAM user (kebijakan sistem)	Mengelola layanan DataWorks	AliyunDataWorksFullAccess	Izin ini memberikan RAM user hak akses luas untuk mengelola fitur DataWorks atas nama Akun Alibaba Cloud, tidak termasuk fitur terkait pembelian.	Untuk petunjuk cara memberikan izin kepada RAM user, lihat Berikan izin kepada RAM user.
Aksi yang diizinkan untuk RAM user (kebijakan sistem)	Membeli resource	AliyunBSSOrderAccess	Mengizinkan RAM user untuk melihat, membayar, dan membatalkan pesanan di Billing Management. RAM user juga dapat membeli resource dan memperpanjang layanan di konsol manajemen.
Aksi yang ditolak untuk RAM user (kebijakan kustom)	Mencegah RAM user melakukan operasi di DataWorks (detail halus)	Kustom	Mencegah pengguna mengakses konsol manajemen, masuk ke antarmuka modul DataWorks, atau memanggil OpenAPI apa pun.	Pertama, definisikan konten kebijakan dengan merujuk pada Kebijakan kontrol izin tingkat layanan. Kemudian, sambungkan kebijakan kustom tersebut ke RAM user untuk memberikan izin. Untuk informasi selengkapnya, lihat (Opsional) Buat kebijakan kustom di bawah ini.
	Mencegah RAM user memanggil OpenAPI apa pun (detail halus)		Secara default, pengguna yang memiliki izin untuk modul DataWorks dapat memanggil OpenAPI yang sesuai. Anda dapat menyambungkan kebijakan ini untuk mencegah pengguna memanggil OpenAPI apa pun.
	Mencegah RAM user mengakses antarmuka modul DataWorks (detail halus)		Secara default, semua RAM user di bawah Akun Alibaba Cloud merupakan anggota penyewa DataWorks. Mereka dapat mengakses modul global dan modul di ruang kerja yang telah mereka ikuti. Anda dapat mencegah pengguna mengakses semua antarmuka modul DataWorks.

Kontrol izin konsol detail halus: kebijakan kustom

DataWorks mendukung kontrol izin detail halus untuk operasi pada entitas berikut:

Objek	Aksi	Dokumentasi
Workspace	Buat workspace Ubah workspace Hapus workspace Nonaktifkan workspace Aktifkan workspace	Untuk memberikan izin detail halus untuk operasi konsol, pertama buat kebijakan kustom seperti yang dijelaskan dalam Kebijakan kontrol izin tingkat entitas konsol. Kemudian, sambungkan kebijakan kustom tersebut ke RAM user. Untuk petunjuknya, lihat Berikan izin kepada RAM user.
Resource group	Daftar resource group eksklusif Lihat detail resource group berdasarkan nama Buat resource group eksklusif Ubah resource group eksklusif
Alerts	Daftar kontak Ubah informasi kontak Daftar Sumber Daya Peringatan Tetapkan batas atas jumlah alert

Berikan izin kepada RAM user

Di panel navigasi sebelah kiri, pilih Identity management > User.
Di panel Add Permissions, berikan izin kepada RAM user.

Anda dapat memberikan kebijakan sistem maupun kustom. Untuk memberikan kebijakan kustom, Anda harus terlebih dahulu membuatnya sebelum dapat menetapkannya. Untuk daftar kebijakan yang tersedia, lihat Izin tingkat layanan: kebijakan sistem dan kustom.

Catatan
Untuk informasi lebih lanjut tentang pengaturan parameter, lihat Kelola izin untuk RAM user.

(Opsional) Buat kebijakan kustom

Jika Anda ingin menerapkan kontrol izin detail halus menggunakan kebijakan RAM, Anda harus membuat kebijakan kustom. Langkah ini dapat dilewati jika Anda menggunakan kebijakan sistem untuk izin luas.

Anda dapat menggunakan Akun Alibaba Cloud untuk membuat kebijakan kustom di konsol Access Control. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.

Untuk membuat kebijakan kustom untuk kontrol tingkat layanan, definisikan konten kebijakan seperti yang dijelaskan dalam Kebijakan kontrol izin tingkat layanan.

Untuk membuat kebijakan kustom untuk kontrol tingkat entitas di konsol, buka Permission management > Policies di panel navigasi sebelah kiri konsol RAM. Klik Create Policy dan pilih tab Script. Kebijakan harus dalam format JSON berikut: {"Version":"1","Statement":[{"Effect":"Allow","Action":"dataworks:OperationName","Resource":"acs:dataworks:$regionid:$accountid:ResourceType/*"}]}. Nilai untuk Action dan Resource sesuai dengan entri di kolom Action dan Resource pada tabel izin terkait.

Parameter	Deskripsi
Action	Tetapkan elemen Action dalam kebijakan kustom Anda ke nilai Action dari izin terkait di Kebijakan kontrol izin tingkat entitas konsol.
Resource	Tetapkan elemen Resource dalam kebijakan kustom Anda ke nilai Resource dari izin terkait di Kebijakan kontrol izin tingkat entitas konsol. Catatan Catatan tentang elemen Resource: Ganti placeholder yang diawali tanda dolar (`$`) dengan nilai aktual. Misalnya, ganti `$regionid` dengan ID wilayah yang valid dan `$accountid` dengan UID Akun Alibaba Cloud Anda. Tanda bintang (``) adalah wildcard. Anda dapat menggantinya dengan nilai spesifik untuk mempersempit cakupan izin lebih lanjut. Misalnya, mengganti `workspace/` dengan `workspace/workspaceid` membatasi kebijakan hanya untuk workspace tertentu.