DataWorks menyediakan sistem manajemen izin komprehensif untuk mengelola izin tingkat produk dan modul. Izin tingkat modul mencakup operasi di Konsol DataWorks dan penggunaan modul layanan DataWorks. Anda dapat menggunakan kebijakan RAM untuk mengelola izin tingkat produk dan operasi di Konsol DataWorks, serta kontrol akses berbasis peran (RBAC) untuk mengelola izin pada modul layanan. Topik ini menjelaskan sistem manajemen izin DataWorks.
Ikhtisar
Gambar berikut menunjukkan struktur sistem manajemen izin DataWorks berdasarkan granularitas manajemen.
Metode manajemen izin | Metode otorisasi | Ruang lingkup efektif di DataWorks | Referensi |
Otorisasi berbasis kebijakan RAM | Lampirkan kebijakan ke pengguna (RAM user atau Peran RAM) untuk memberikan pengguna izin yang didefinisikan dalam kebijakan tersebut.
|
| |
RBAC | Tetapkan peran kepada pengguna (RAM user atau Peran RAM) untuk mengotorisasi pengguna melakukan operasi di modul layanan DataWorks tertentu.
|
|
Topik ini menjelaskan informasi dasar tentang sistem manajemen izin DataWorks. Untuk detail lebih lanjut tentang manajemen izin dalam skenario berbeda, lihat Praktik terbaik untuk mengelola izin pengguna RAM.
Perhatian
Secara default, akun Alibaba Cloud dan pengguna RAM dengan kebijakan AdministratorAccess memiliki izin lebih tinggi.
Manajemen izin tingkat produk
DataWorks memungkinkan Anda menggunakan kebijakan RAM untuk mengelola izin tingkat produk. Anda dapat melampirkan kebijakan bawaan atau kustom ke pengguna RAM untuk menerapkan manajemen izin DataWorks.
Metode manajemen izin | Jenis operasi | Deskripsi | Referensi |
Otorisasi berbasis kebijakan RAM | Mengizinkan | Anda dapat melampirkan kebijakan sistem berikut yang disediakan oleh DataWorks ke pengguna RAM:
| Gunakan kebijakan sistem dan kebijakan kustom untuk mengelola izin pada layanan DataWorks |
Tolak | Anda dapat membuat kebijakan kustom dan melampirkan kebijakan tersebut ke pengguna RAM tertentu. Ruang lingkup manajemen izin:
|
Manajemen izin tingkat modul: Izin untuk melakukan operasi di Konsol DataWorks
DataWorks memungkinkan Anda menggunakan kebijakan RAM untuk mengelola izin melakukan operasi di Konsol DataWorks.
Metode manajemen izin | Entitas yang dikelola | Operasi | Referensi |
Otorisasi berbasis kebijakan RAM | Ruang Kerja | Anda dapat melakukan berbagai operasi seperti membuat, menonaktifkan, atau menghapus ruang kerja di halaman Workspaces. | Gunakan kebijakan kustom untuk mengelola izin pada entitas di Konsol DataWorks secara mendetail |
Grup Sumber Daya Eksklusif | Anda dapat melakukan berbagai operasi seperti membuat grup sumber daya eksklusif dan mengonfigurasi jaringan grup sumber daya eksklusif di halaman Resource Groups. | ||
Peringatan | Anda dapat melakukan berbagai operasi seperti mengonfigurasi informasi kontak peringatan di halaman Alerts. |
Manajemen izin tingkat modul: Izin untuk menggunakan modul layanan DataWorks
Modul layanan DataWorks diklasifikasikan menjadi modul tingkat global dan ruang kerja berdasarkan ruang lingkup penggunaannya. DataWorks menyediakan peran tingkat global dan ruang kerja yang dapat digunakan untuk mengelola izin pada modul layanan tersebut. Untuk informasi lebih lanjut, lihat Lampiran 1: Pembagian Peran Tingkat Global dan Ruang Kerja. DataWorks memungkinkan Anda menggunakan RBAC untuk mengelola izin pada modul layanan.
Metode manajemen izin | Entitas yang dikelola | Deskripsi | Referensi |
RBAC | Modul layanan tingkat ruang kerja |
Catatan DataWorks menyediakan peran tingkat ruang kerja bawaan yang diberikan izin tetap. DataWorks juga memungkinkan Anda membuat peran tingkat ruang kerja kustom. | |
Modul layanan tingkat global |
Catatan DataWorks menyediakan peran tingkat global bawaan. DataWorks juga memungkinkan Anda membuat peran tingkat global kustom untuk mengontrol apakah peran tertentu memiliki izin baca dan tulis data pada modul layanan tingkat global tertentu. |
Lampiran 1: Pembagian peran tingkat global dan peran tingkat ruang kerja
DataWorks menyediakan peran tingkat global dan ruang kerja bawaan. Anda dapat menetapkan peran bawaan ini kepada pengguna untuk memberikan izin yang diperlukan pada modul layanan tertentu. Anda juga dapat membuat peran tingkat global atau ruang kerja kustom sesuai kebutuhan bisnis. Gambar berikut menunjukkan hubungan antara pengguna, peran, dan izin.
Di antara semua jenis peran, hanya peran tenant administrator, yang merupakan peran tingkat global, yang memiliki izin pada semua modul layanan.
Peran tenant member secara otomatis diberikan kepada semua pengguna RAM yang termasuk dalam akun Alibaba Cloud.
Peran tingkat global kustom memiliki prioritas izin lebih tinggi daripada peran tenant member.
Sebagai contoh, RAM User A yang termasuk dalam akun Alibaba Cloud secara otomatis diberikan peran tenant member, dan dapat mengakses Data Map. Jika administrator penyewa membuat peran tingkat global kustom yang tidak memiliki izin pada Data Map, dan menetapkan peran tersebut ke RAM User A, maka RAM User A tidak dapat mengakses Data Map.
Lampiran 2: Membedakan antara modul layanan tingkat ruang kerja dan modul layanan tingkat global
Jika daftar drop-down tempat Anda dapat memilih ruang kerja ditampilkan setelah masuk ke halaman modul layanan, maka modul tersebut adalah modul layanan tingkat ruang kerja. Contohnya, Data Integration dan DataStudio adalah modul layanan tingkat ruang kerja.
Jika tidak ada daftar drop-down tempat Anda dapat memilih ruang kerja yang ditampilkan setelah masuk ke halaman modul layanan, maka modul tersebut adalah modul tingkat global. Contohnya, Data Security Guard dan Data Map adalah modul layanan tingkat global.