Manajemen izin DataWorks Kebijakan RAM peran RBAC - DataWorks

DataWorks mengelola izin pada dua tingkat: tingkat produk (melalui Kebijakan RAM) dan tingkat modul. Izin tingkat modul mencakup konsol DataWorks (melalui Kebijakan RAM) serta modul fungsional (melalui peran RBAC).

Sistem kontrol izin

Sistem izin tersusun sebagai berikut:

Permission control system

Jenis kebijakan

Metode otorisasi

Cakupan dalam DataWorks

Referensi

Sistem izin Kebijakan RAM

Menyambungkan kebijakan izin ke pengguna (RAM user atau RAM role) untuk memberikan izin.

Pengguna mencakup RAM user dan RAM role.
Kebijakan izin mencakup kebijakan sistem dan kebijakan kustom.

Tingkat produk: mengelola DataWorks, membeli resource, dan mengaktifkan layanan DataWorks, seperti edisi Standard, Professional, dan Enterprise.
Tingkat modul: konsol manajemen DataWorks (mengelola ruang kerja, kelompok sumber daya, dan kontak peringatan).

Sistem izin Kebijakan RAM

Model izin RBAC

Menetapkan peran kepada pengguna (RAM user atau RAM role) untuk memberikan izin terkait modul fungsional.

Pengguna mencakup RAM user dan RAM role.
Peran mencakup peran tingkat ruang kerja dan peran tingkat global di DataWorks.
Izin mencakup akses dan penggunaan modul tingkat ruang kerja, serta akses dan pengelolaan modul tingkat global.

Modul fungsional tingkat global DataWorks
Modul fungsional tingkat ruang kerja DataWorks

Catatan

Untuk mengonfigurasi izin dalam skenario tertentu, ikuti Praktik terbaik: Berikan izin kepada RAM user.

Catatan penggunaan

Akun Alibaba Cloud dan RAM user dengan AdministratorAccess memiliki izin penuh secara default.

Kelola izin tingkat produk

DataWorks menggunakan Kebijakan RAM untuk mengelola izin tingkat produk. Berikan kebijakan sistem atau kustom kepada RAM user guna mengontrol akses ke DataWorks.

Jenis kebijakan

Jenis operasi

Deskripsi

Referensi

Sistem izin Kebijakan RAM

Operasi yang diizinkan

Kebijakan sistem yang tersedia:

Mengelola DataWorks (AliyunDataWorksFullAccess): Memberikan akses penuh untuk mengelola fitur DataWorks, tidak termasuk pembelian.
Membeli resource dan mengaktifkan layanan (AliyunBSSOrderAccess): Mengizinkan pembelian dan perpanjangan resource di konsol.

Kelola izin tingkat produk secara luas: Kebijakan sistem dan kebijakan kustom

Operasi yang ditolak

Untuk menolak operasi, sambungkan kebijakan kustom ke RAM user. Cakupan yang dapat dikontrol:

Blokir akses ke operasi DataWorks.
Blokir panggilan API.
Blokir akses ke antarmuka modul DataWorks.

Tingkat modul: Izin konsol DataWorks

Izin konsol dikelola melalui Kebijakan RAM, yang mengontrol semua operasi di konsol manajemen DataWorks.

Jenis kebijakan	Objek yang dikontrol	Operasi terkait	Referensi
Sistem izin kebijakan RAM	Workspace	Operasi pada halaman Workspaces, seperti membuat, menonaktifkan, dan menghapus workspace.	Mengelola izin konsol detail halus: Kebijakan kustom
	Exclusive resource group	Operasi pada halaman Resource Groups, seperti membuat exclusive resource group dan mengonfigurasi jaringan untuk exclusive resource group.
	Informasi alert	Operasi pada halaman Alerts, seperti mengonfigurasi kontak.

Tingkat modul: Izin modul fungsional DataWorks

Modul fungsional DataWorks dibagi berdasarkan cakupan tingkat global dan tingkat ruang kerja, dengan peran terkait untuk mengelola izin (Lampiran 1: Klasifikasi peran tingkat global dan tingkat ruang kerja). Sistem ini menerapkan model role-based access control (RBAC).

Jenis kebijakan	Objek yang dikontrol	Deskripsi izin	Referensi
Model RBAC (role-based access control)	Modul tingkat ruang kerja	Mengizinkan operasi pada modul tingkat ruang kerja: Tetapkan peran tingkat ruang kerja kepada pengguna (RAM user atau RAM role) untuk memberikan izin terkait modul tersebut. Menolak akses ke modul tingkat ruang kerja: Misalnya, Anda dapat melarang pengguna mengakses Data Development. Catatan DataWorks menyediakan peran tingkat ruang kerja yang telah ditentukan sebelumnya dengan set izin tetap. Anda juga dapat membuat peran tingkat ruang kerja kustom.	Kelola izin untuk modul tingkat ruang kerja
Model RBAC (role-based access control)	Modul tingkat global	Mengizinkan operasi pada modul tingkat global: Tetapkan peran tingkat global kepada pengguna (RAM user atau RAM role) untuk memberikan izin terkait modul tersebut. Menolak akses ke modul tingkat global: Misalnya, blokir pengguna dari mengakses Data Map atau Data Security Guard. Catatan DataWorks menyediakan peran tingkat global yang telah ditentukan sebelumnya. Anda juga dapat membuat peran kustom untuk mengontrol akses baca/tulis per modul.	Kontrol izin untuk modul tingkat global

Lampiran 1: Peran tingkat global dan tingkat ruang kerja

DataWorks menyediakan peran global dan tingkat ruang kerja yang telah ditentukan sebelumnya. Tetapkan peran ini kepada pengguna atau buat peran kustom sesuai kebutuhan. RBAC permission model

Catatan

Hanya peran tingkat global Tenant Administrator yang memiliki akses ke semua modul fungsional.
Semua RAM user di bawah akun Alibaba Cloud secara default diberikan peran Tenant Member.
Jika Tenant Administrator membuat peran global kustom yang menolak akses ke modul global tertentu, maka peran tersebut akan menggantikan izin dari peran Tenant Member.

Contoh: RAM User A di bawah akun Alibaba Cloud secara default merupakan Tenant Member dan dapat mengakses DataMap. Jika administrator penyewa membuat peran kustom yang menolak akses ke DataMap dan menetapkannya ke RAM User A, pengguna tersebut kehilangan akses ke Data Map.

Lampiran 2: Membedakan modul tingkat ruang kerja dan tingkat global

Modul yang memiliki drop-down pemilihan ruang kerja di bagian atas merupakan modul tingkat ruang kerja. Contoh: Data Integration dan DataStudio.

Modul yang tidak memiliki drop-down pemilihan ruang kerja merupakan modul tingkat global. Contoh: Data Security Guard dan DataMap. Data Map