Kelola izin pada layanan tingkat area kerja - DataWorks

DataWorks memungkinkan Anda memberikan izin berbeda pada layanan tingkat area kerja kepada anggota dengan menetapkan peran yang sesuai. Peran tersebut mencakup peran bawaan dan kustom tingkat area kerja. Peran bawaan memiliki izin tetap pada layanan tertentu, sedangkan peran kustom dapat digunakan untuk mengontrol izin baca dan tulis anggota. Topik ini menjelaskan peran yang tersedia serta operasi dasar untuk mengelola izin anggota.

Informasi latar belakang

DataWorks tidak membatasi jumlah anggota dalam sebuah area kerja. Saat menambahkan pengguna RAM sebagai anggota, Anda dapat mengonfigurasi izin mereka untuk layanan tingkat area kerja. Dengan cara ini, anggota dapat berpartisipasi dalam pengembangan data di DataWorks.

No.	Deskripsi	Referensi
1	Area kerja DataWorks adalah unit dasar di mana peran berbeda dapat digunakan untuk pengembangan data kolaboratif. Semua operasi pengembangan data dilakukan di area kerja tertentu. Jika Anda ingin mengizinkan pengguna RAM untuk secara kolaboratif melakukan operasi pengembangan data, Anda harus menambahkan pengguna RAM ke area kerja sebagai anggota dan menetapkan peran kepada anggota berdasarkan kebutuhan bisnis Anda. Anda dapat menetapkan peran tingkat area kerja bawaan yang disediakan oleh DataWorks kepada anggota. Sebagai contoh, jika Anda menetapkan peran Pengembangan kepada anggota, anggota tersebut dapat melakukan operasi pengembangan data di area kerja tetapi tidak dapat melakukan operasi penyebaran.	Izin peran tingkat area kerja bawaan
2	Jika peran tingkat area kerja bawaan tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat membuat peran tingkat area kerja kustom dan menetapkan peran tersebut kepada pengguna RAM. Dengan cara ini, Anda dapat mengontrol izin pengguna RAM pada layanan tingkat area kerja tertentu. Sebagai contoh, Anda dapat membuat peran tingkat area kerja kustom dan menetapkan peran tersebut kepada pengguna RAM untuk menolak izin akses pada DataService Studio untuk pengguna RAM.	Peran tingkat area kerja
3	Pengelolaan izin pada layanan tingkat area kerja di DataWorks dilakukan berdasarkan model kontrol akses berbasis peran (RBAC). Setelah Anda menambahkan pengguna RAM ke area kerja sebagai anggota dan menetapkan peran tingkat area kerja kepada anggota, anggota tersebut diberi izin dari peran pada layanan tingkat area kerja terkait.	Ikhtisar sistem manajemen izin DataWorks

Batasan

Hanya area kerja edisi DataWorks Enterprise yang mendukung peran kustom. Untuk informasi lebih lanjut tentang edisi DataWorks, lihat Perbedaan antara Edisi DataWorks. Jika area kerja Anda bukan edisi Enterprise, Anda dapat meningkatkannya. Untuk informasi tentang penagihan, lihat Penagihan Edisi DataWorks.
Catatan
Jika ingin menyesuaikan durasi langganan saat meningkatkan edisi, kami sarankan Anda berhenti berlangganan dari edisi saat ini dan membeli edisi baru. Jika langsung meningkatkan edisi, Anda harus membayar selisih harga untuk periode tersisa dalam siklus penagihan. Untuk informasi tentang cara berhenti berlangganan, lihat bagian "Berhenti Berlangganan Fitur atau Sumber Daya Langganan DataWorks".
Anda hanya dapat menggunakan peran Workspace Administrator dan Workspace Owner untuk menambahkan anggota, mengubah peran anggota, menghapus members, serta menghapus custom roles.
Pengguna RAM dengan peran Admin atau Super_Administrator dari proyek MaxCompute atau akun Alibaba Cloud diperlukan untuk mengonfigurasi pemetaan antara peran kustom tingkat area kerja DataWorks dan peran proyek MaxCompute.
Izin peran bawaan tidak dapat diubah.

Peran tingkat area kerja

DataWorks menyediakan identitas seperti anggota dan peran di tingkat area kerja. Anda dapat menetapkan peran berbeda berdasarkan kebutuhan pengguna. DataWorks menyediakan peran bawaan dengan izin tetap pada layanan tertentu. Jika peran bawaan tidak memenuhi kebutuhan bisnis, Anda dapat membuat peran kustom di tab Workspace Roles pada halaman Area Kerja di konsol DataWorks.

Peran tingkat area kerja bawaan

Secara default, peran bawaan memiliki izin baca pada semua layanan tingkat area kerja. Izin manajemen dan operasi bervariasi antar peran. Tabel berikut menjelaskan peran bawaan dan izinnya.

Catatan

Pemilik area kerja adalah akun Alibaba Cloud yang digunakan untuk membuat area kerja. Jika area kerja dibuat oleh pengguna RAM, pemiliknya adalah akun Alibaba Cloud tempat pengguna RAM tersebut bernaung. Peran Workspace Owner tidak dapat ditetapkan kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Izin Peran Tingkat Area Kerja Bawaan.

Peran	Deskripsi
Workspace Owner	Peran ini memiliki semua izin pada area kerja. Pemilik area kerja adalah akun Alibaba Cloud. Sebagai contoh, peran Pemilik Area Kerja dapat digunakan untuk menetapkan peran kepada pengguna RAM dan menghapus anggota yang bukan pemilik area kerja dari area kerja.
Workspace Administrator	Peran ini memiliki izin yang hanya kalah dari izin peran Administrator Area Kerja. Peran Administrator Area Kerja juga dapat digunakan untuk melakukan operasi seperti menambahkan pengguna ke area kerja sebagai anggota, menghapus anggota dari area kerja, atau menetapkan peran kepada anggota.
Data Analyst	Peran ini memiliki izin hanya pada DataAnalysis.
Develop	Peran ini memiliki izin untuk melakukan operasi pengembangan dan pemeliharaan data pada halaman DataStudio di area kerja. Catatan Jika Anda ingin melakukan operasi pengembangan data sebagai pengguna RAM, Anda harus menetapkan peran Pengembangan atau Administrator Area Kerja kepada pengguna RAM. Jika Anda ingin melakukan operasi penyebaran sebagai pengguna RAM, Anda harus menetapkan peran O&M atau Administrator Area Kerja kepada pengguna RAM.
O&M	Peran ini memiliki izin untuk menyebarkan tugas ke lingkungan produksi pada halaman Buat Tugas Penyebaran dan melakukan operasi O&M pada semua tugas di area kerja di Pusat Operasi.
Deploy	Peran ini memiliki izin untuk meninjau kode tugas dan menentukan apakah akan mengirimkan tugas ke Pusat Operasi di area kerja dalam mode standar.
Visitor	Peran ini memiliki izin baca-saja pada alur kerja dan kode di halaman DataStudio area kerja.
Security Administrator	Peran ini memiliki izin hanya pada Data Security Guard.
Model Designer	Peran ini memiliki izin untuk melihat model di Pemodelan Data dan mengubah konfigurasi parameter di Perencanaan Gudang Data, Standar Data, Pemodelan Dimensi, dan Metrik Data. Peran ini tidak memiliki izin untuk menerbitkan model.
Data Governance Administrator	Peran ini memiliki izin untuk melihat dan mengelola konten tata kelola data dari area kerja tempat peran ini berada di Pusat Tata Kelola Data. Catatan Peran ini tidak memiliki izin untuk melihat situasi tata kelola data dari semua area kerja di wilayah dari perspektif global atau mengelola operasi tata kelola global, seperti mengaktifkan item pemeriksaan di tingkat global. Jika Anda ingin mengizinkan pengguna RAM untuk melakukan operasi tata kelola global, tetapkan peran Administrator Tata Kelola Data di tingkat penyewa kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Peran Administrator Tata Kelola Data di tingkat penyewa. Untuk informasi lebih lanjut tentang fitur yang didukung oleh peran Administrator Tata Kelola Data di tingkat area kerja, lihat Tata Kelola Data.

Peran tingkat area kerja kustom

Saat membuat peran kustom di konsol DataWorks, Anda dapat mengontrol izinnya pada layanan tingkat area kerja. Jika menggunakan mesin komputasi MaxCompute, Anda dapat configure the mapping between the custom role and a role of the MaxCompute compute engine. Dengan cara ini, peran kustom diberi izin pada sumber daya di mesin komputasi MaxCompute. Untuk informasi tentang cara membuat peran kustom, lihat operasi yang ditunjukkan dalam gambar di bagian ini. 空间级自定义

No Permissions: Peran tidak memiliki izin pada layanan terkait.
Read-only: Peran hanya dapat melihat informasi data di layanan terkait.
Read and Write: Peran dapat memodifikasi data di layanan terkait.

Tambahkan pengguna RAM ke area kerja sebagai anggota dan tetapkan peran kepada anggota

Setelah menambahkan pengguna RAM sebagai anggota, Anda dapat menetapkan peran bawaan berdasarkan kebutuhan bisnis. Secara default, anggota dapat mengakses semua layanan tingkat area kerja. Jika ingin membatasi akses, Anda dapat membuat peran kustom yang menolak izin pada layanan tertentu dan menetapkannya kepada anggota.

Langkah 1: Buka tab Anggota Area Kerja

Buka Pusat Manajemen.
Di panel navigasi sebelah kiri, klik Anggota dan Peran Area Kerja. Di halaman Workspace, klik tab Workspace Members.

Langkah 2: Tambahkan pengguna RAM ke area kerja sebagai anggota dan kelola anggota di area kerja

Di sudut kanan atas tab Workspace Members, klik Add Members.

Di kotak dialog Add Members, pilih satu atau beberapa pengguna RAM dari daftar Available Accounts.

添加角色

Operasi	Deskripsi
Pilih pengguna RAM yang ingin ditambahkan sebagai anggota.	Daftar Available Accounts menampilkan semua pengguna RAM dalam akun Alibaba Cloud saat ini. Pilih pengguna yang diinginkan dan klik ikon > untuk memindahkannya ke daftar Akun Terpilih. Dengan cara ini, pengguna RAM menjadi anggota dan dapat berpartisipasi dalam pengembangan data. Catatan Jika pengguna RAM tidak muncul di daftar Akun Tersedia, klik Refresh di pesan prompt untuk menyegarkan daftar.
Tetapkan beberapa peran kepada pengguna RAM sekaligus.	Pilih peran yang ingin ditetapkan kepada pengguna RAM dan klik Konfirmasi. Anda dapat menetapkan peran bawaan atau kustom. Sebelum menetapkan peran kustom, buat peran tersebut dengan mengikuti langkah-langkah di subbagian berikutnya.

Catatan

MaxCompute menyediakan peran bawaan untuk mesin komputasi. Pemetaan ada antara peran bawaan DataWorks dan MaxCompute di lingkungan pengembangan. Setelah pengguna RAM diberi peran bawaan DataWorks, mereka secara otomatis mendapatkan izin dari peran bawaan MaxCompute di lingkungan pengembangan, tetapi tidak di lingkungan produksi.
- Untuk informasi tentang cara memberikan izin pada mesin komputasi MaxCompute, lihat Kelola Izin pada Data di Mesin Komputasi MaxCompute.
- Untuk informasi tentang pemetaan antara peran bawaan DataWorks dan MaxCompute, lihat Lampiran: Pemetaan antara Peran Bawaan DataWorks dan MaxCompute.
Jika menggunakan jenis mesin komputasi lain, Anda tidak dapat memberikan izin dengan menetapkan peran tingkat area kerja.

Klik Confirmation.
Anda dapat melihat informasi seperti daftar semua anggota di area kerja, akun mereka, serta peran masing-masing di tab Workspace Members. Anda juga dapat menentukan kondisi filter untuk mencari anggota tertentu dan mengubah peran tingkat area kerja yang ditetapkan kepada anggota melalui kolom Role. Selain itu, Anda dapat menghapus anggota dari area kerja dengan mengklik Remove di kolom Actions.

(Opsional) Buat peran tingkat area kerja kustom

Jika peran bawaan tidak memenuhi kebutuhan bisnis, Anda dapat membuat peran kustom di tab Workspace Roles.

Di halaman Workspace, klik tab Peran Area Kerja. Di tab tersebut, klik Create Custom Role.
Dalam kotak dialog Create Custom Role, tentukan nama peran dan konfigurasikan pengaturan izin untuk setiap layanan tingkat area kerja.
- No Permissions: Peran tidak memiliki izin pada layanan terkait.
- Read-only: Peran hanya dapat melihat informasi data di layanan terkait.
- Read and Write: Peran dapat memodifikasi data di layanan terkait.
Di bagian Configure Mappings Between a DataWorks Custom Role and a Role of a Compute Engine, klik Add untuk mengonfigurasi pemetaan antara peran kustom dan peran mesin komputasi.
Jika menggunakan mesin komputasi MaxCompute, tentukan peran bawaan MaxCompute dan konfigurasikan pemetaan. Dengan cara ini, anggota yang diberi peran kustom secara otomatis mendapatkan izin dari peran bawaan MaxCompute. Untuk informasi lebih lanjut, lihat Lampiran: Pemetaan antara Peran Bawaan DataWorks dan MaxCompute.
Klik Create.
Ketika pesan Dibuat muncul, peran kustom telah berhasil dibuat. Anda dapat menetapkan peran ini kepada anggota saat menambahkan mereka ke area kerja. Selain itu, Anda dapat memodifikasi atau menghapus custom workspace-level role di tab Workspace Roles.