DataWorks menggunakan kebijakan Resource Access Management (RAM) Alibaba Cloud untuk product-level access control dan management console access control. Untuk memberikan izin, Anda dapat menyambungkan kebijakan akses ke pengguna, seperti Pengguna RAM atau Peran RAM. Pengguna tersebut kemudian memperoleh izin akses yang ditentukan dalam kebijakan tersebut. Topik ini menjelaskan kontrol akses yang didukung dan cara akun root memberikan kebijakan manajemen DataWorks kepada pengguna.
Kontrol akses kasar tingkat produk: Kebijakan sistem dan kebijakan kustom
Secara default, hanya Akun Alibaba Cloud yang memiliki izin manajemen tingkat produk untuk DataWorks. Jika Anda ingin Pengguna RAM menjalankan tugas manajemen, Anda dapat memberikan kebijakan sistem pada tabel berikut kepada pengguna tersebut. Pengguna tersebut kemudian memperoleh semua izin operasional dari Akun Alibaba Cloud.
Jenis izin | Cakupan kontrol | Nama Izin | Deskripsi | Referensi |
Operasi yang diizinkan untuk Pengguna RAM (kebijakan sistem) | Izin untuk mengelola layanan DataWorks | AliyunDataWorksFullAccess | Setelah diberikan izin ini, Pengguna RAM memiliki izin luas di DataWorks. Pengguna tersebut dapat mengelola fitur produk internal atas nama akun root, tetapi tidak dapat melakukan operasi terkait pembelian. | Untuk prosedur pemberian izin kepada Pengguna RAM, lihat Berikan izin kepada Pengguna RAM. |
Izin untuk membeli resource | AliyunBSSOrderAccess | Setelah kebijakan sistem ini disambungkan ke Pengguna RAM, pengguna tersebut dapat melihat, membayar, dan membatalkan pesanan di Billing Management. Izin ini memungkinkan Pengguna RAM untuk membeli resource dan memperpanjang layanan di konsol manajemen. | ||
Operasi yang ditolak untuk Pengguna RAM (kebijakan kustom) | Mencegah Pengguna RAM melakukan operasi di DataWorks (detail halus) | Custom | Mencegah pengguna memasuki konsol manajemen, mengakses antarmuka modul DataWorks, atau memanggil OpenAPI. | Pertama, definisikan isi kebijakan dengan merujuk ke Kebijakan kontrol tingkat produk. Kemudian, sambungkan kebijakan kustom tersebut ke Pengguna RAM untuk memberikan izin. Untuk prosedurnya, lihat (Opsional) Buat kebijakan kustom. |
Mencegah Pengguna RAM memanggil OpenAPI (detail halus) | Secara default, pengguna di DataWorks dengan izin tingkat modul dapat memanggil Operasi API OpenAPI yang sesuai. Untuk mencegah pengguna memanggil semua Operasi API OpenAPI, Anda dapat menetapkan izin tertentu kepada pengguna tersebut. | |||
Mencegah Pengguna RAM mengakses antarmuka modul DataWorks (detail halus) | Secara default, semua Pengguna RAM dalam Akun Alibaba Cloud merupakan anggota penyewa DataWorks. Mereka dapat mengakses semua modul tingkat global dan modul tingkat ruang kerja apa pun tempat mereka ditambahkan sebagai anggota. Anda dapat mencegah pengguna mengakses antarmuka modul apa pun di DataWorks. |
Kontrol akses konsol detail halus: Kebijakan kustom
DataWorks mendukung kontrol akses detail halus untuk operasi pada entitas berikut:
Objek | Operasi terkait | Referensi |
Ruang kerja |
| Untuk memberikan izin detail halus untuk konsol, pertama buat kebijakan kustom dengan merujuk ke Kebijakan kontrol tingkat entitas konsol. Kemudian, sambungkan kebijakan kustom tersebut ke Pengguna RAM. Untuk prosedurnya, lihat Berikan izin kepada Pengguna RAM. |
Kelompok sumber daya |
| |
Informasi peringatan |
|
Berikan izin kepada Pengguna RAM
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Users, temukan Pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa Pengguna RAM dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada Pengguna RAM sekaligus.
Di panel Add Permissions, tambahkan izin untuk Pengguna RAM.
Anda dapat memberikan kebijakan sistem dan kebijakan kustom. Untuk memberikan kebijakan kustom, Anda harus terlebih dahulu membuat kebijakan kustom. Untuk informasi tentang kebijakan sistem dan kustom yang tersedia, lihat Kontrol akses kasar tingkat produk: Kebijakan sistem dan kebijakan kustom.
CatatanUntuk informasi selengkapnya tentang pengaturan parameter, lihat Kelola izin untuk Pengguna RAM.
(Opsional) Buat kebijakan kustom
Jika Anda ingin menerapkan kontrol akses detail halus menggunakan kebijakan RAM granular, Anda harus terlebih dahulu membuat kebijakan kustom. Jika Anda menggunakan kebijakan sistem untuk otorisasi kasar, Anda dapat melewati langkah ini.
Gunakan Akun Alibaba Cloud Anda untuk membuat kebijakan kustom di konsol Resource Access Management. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.
Untuk membuat kebijakan kontrol tingkat produk kustom, definisikan isi kebijakan berdasarkan Kebijakan kontrol tingkat produk.
Untuk membuat kebijakan tingkat entitas konsol kustom, konfigurasikan seperti dijelaskan di bawah:
Elemen kebijakan
Deskripsi
Action
Konfigurasikan elemen Action dalam kebijakan kustom berdasarkan Action dari item kontrol yang sesuai di Kebijakan kontrol tingkat entitas konsol. Formatnya ditunjukkan pada gambar di atas.
Resource
Konfigurasikan elemen Resource dalam kebijakan kustom berdasarkan Resource dari item kontrol yang sesuai di Kebijakan kontrol tingkat entitas konsol. Formatnya ditunjukkan pada gambar di atas.
CatatanCatatan tentang Resource:
Saat membuat kebijakan kustom, ganti placeholder
$dalam elemen Resource dengan ID aktual. Misalnya, ganti$regioniddengan ID wilayah aktual dan$accountiddengan UID Akun Alibaba Cloud Anda.Tanda bintang (
*) adalah karakter wildcard. Anda dapat menggantinya dengan nilai parameter spesifik untuk lebih mempersempit cakupan izin. Misalnya, jika Anda menggantiworkspace/*denganworkspace/workspaceid, kebijakan tersebut hanya berlaku dalam ruang kerja yang ditentukan.