ここでは、ワークスペース管理者の責任と権限について説明します。 デフォルトでは、ワークスペースを作成する Alibaba Cloud アカウントはワークスペースの所有者および管理者であり、ワークスペースに対する全権限を持っています。

所有者は、Resource Access Management (RAM) ユーザーをワークスペース管理者として指定することもできます。

ワークスペースの作成

デフォルトでは、Alibaba Cloud アカウントでワークスペースを作成した者は、その所有者および管理者です。 RAM ユーザーをワークスペース管理者として指定することもできます。 ワークスペースを作成する方法の詳細は、「ワークスペースの作成」をご参照ください。
ワークスペース管理者は、本番環境でワークスペースの安定した実行を維持し、ワークスペースメンバーに最小限の権限を付与し、ワークスペース内のテーブルに対する操作権限を制限する必要があります。

ワークスペースメンバーの追加

ワークスペース管理者は、RAM ユーザーをワークスペースのメンバーとして追加し、必要に応じてメンバーにロールを付与できます。 各ロールの権限についての詳細は、「アクセス権限リスト」を参照してください。
同じメンバーに Developer および Administration Expert のロールを同時に付与しないことをお勧めします。

権限管理

DataWorks では、本番環境の安定性とセキュリティを保証するために、デフォルトでは、RAM ユーザーは本番環境のテーブルに対する操作を実行できません。 たとえば、RAM ユーザーは本番環境でテーブルを変更または削除できません。 さらに、ワークスペースメンバーはノードをコミットする権限を持っている必要があります。

ワークスペースを作成するときは、ワークスペースでノードを実行するときに、Alibaba Cloud アカウントを使用するか、あるいは RAM ユーザーを使用するかを指定する必要があります。 誤った設定は、DataWorks の権限システムをダメージを与えます。

  • Alibaba Cloud アカウント:Alibaba Cloud アカウントの AccessKey は、SQL 文の実行に使用されます。 SQL 文は、指定されたリージョンのすべてのワークスペースのテーブルで実行できます。 この方法を選択する場合にはご注意ください。
  • RAM ユーザー:RAM ユーザーの AccessKey は、SQL 文の実行に使用されます。 RAM ユーザーの権限は厳しく管理されています。 許可された RAM ユーザーのみが、本番環境のテーブルで操作を実行できます。
その他の権限:
  • Data Integration:ワークスペースの管理者と所有者のみが、ワークスペースでの接続の追加やテーブルの同期などの操作を実行できます。
  • MaxCompute Manager:ワークスペース管理者は、リソースグループをワークスペースにバインドできます。 その後、管理の専門家は、MaxCompute CU Management でシステムのステータスを表示し、リソースを割り当て、ノードをモニタリングできます。
  • Operation Center:Operation Center で操作を実行できるのは、ワークスペース管理者と管理者エキスパートのみです。

データのセキュリティを保証するために、各 RAM ユーザーに最小限のロールを付与することをお勧めします。