RAMユーザーにDataWorksの使用を許可する場合、ユースケースに基づいて必要な権限をRAMユーザーに付与できます。このトピックでは、さまざまなユースケースにおけるRAMユーザーの権限を管理する方法について説明します。
背景情報
DataWorksは、サービス管理とサービスモジュールの使用のための包括的な権限管理システムを提供しています。サービスモジュールは、使用範囲に基づいて、グローバルレベルとワークスペースレベルのサービスモジュールに分類されます。 DataWorksは、グローバルレベルとワークスペースレベルのサービスモジュールに対する権限を管理するために使用できる、グローバルレベルとワークスペースレベルのロールを提供します。DataWorksでは、RAMポリシーを使用してサービス管理権限を管理できます。詳細については、「ポリシーの概要」をご参照ください。DataWorksでは、ロールベースのアクセス制御(RBAC)を使用してサービスモジュールに対する権限を管理することもできます。詳細については、「ユーザー、ロール、および権限の概要」をご参照ください。
このトピックでは、DataWorksのさまざまなユースケースにおける権限付与プロセスについて説明します。製品レベルの権限管理、グローバルレベルのサービスモジュールに対する権限管理、ワークスペースレベルのサービスモジュールに対する権限管理という側面から、権限管理システムについて学ぶことができます。
権限管理システム
RAMユーザーとしてグローバル操作を実行する場合は、RAMユーザーに粗粒度の製品レベルの権限が付与されていることを確認してください。RAMユーザーとして特定のサービスモジュール、DataWorksコンソール、またはリソースグループに対して操作を実行する場合は、RAMユーザーに細粒度のサービスモジュールレベルの権限が付与されていることを確認してください。製品レベル:DataWorks の管理および操作権限の管理
製品レベルの DataWorks の管理および操作権限の管理を実行するには、RAM ポリシーを使用する必要があります。| 権限タイプ | 説明 | 手順 | 参照 |
| RAM ユーザーに DataWorks サービスの管理を許可する | デフォルトでは、Alibaba Cloud アカウントを使用してのみ DataWorks サービスを管理する権限があります。RAM ユーザーと共同で DataWorks サービスを管理する場合は、必要なシステムポリシーを RAM ユーザーにアタッチする必要があります。 説明 承認後、RAM ユーザーは Alibaba Cloud アカウントに代わって DataWorks サービスを管理できますが、サービスを購入することはできません。 |
| RAM ユーザーに権限を付与する |
| RAM ユーザーにリソースの購入とサービスのアクティブ化を許可する | デフォルトでは、Alibaba Cloud アカウントを使用してのみリソースを購入し、サービスをアクティブ化できます。たとえば、Alibaba Cloud アカウントを使用して高度な DataWorks エディションを購入できます。RAM ユーザーにリソースの購入とサービスのアクティブ化を許可する場合は、必要なシステムポリシーを RAM ユーザーにアタッチする必要があります。 説明 承認後、RAM ユーザーは請求管理で注文の表示、支払い、キャンセルを行うことができます。 |
| RAM ユーザーに権限を付与する |
| RAM ユーザーが DataWorks で操作を実行することを禁止する | RAM ユーザーが DataWorks コンソールまたは特定のサービスモジュールにアクセスすることを禁止する場合、または RAM ユーザーが API 操作を呼び出すことを禁止する場合は、カスタムポリシーを作成し、RAM ユーザーにアタッチする必要があります。 説明 デフォルトでは、Alibaba Cloud アカウントに属するすべての RAM ユーザーにテナントメンバーロールが割り当てられ、DataWorks コンソールへのアクセスが許可されます。 |
| |
| RAM ユーザーが API 操作を呼び出すことを禁止する | デフォルトでは、DataWorks サービスモジュールに対する権限を持つ RAM ユーザーは、サービスモジュールの API 操作を呼び出すことができます。RAM ユーザーがすべての API 操作を呼び出すことを禁止する場合は、カスタムポリシーを作成し、RAM ユーザーにアタッチする必要があります。 |
| |
| RAM ユーザーが DataWorks サービスモジュールにアクセスすることを禁止する | RAM ユーザーが DataWorks のすべてのサービスモジュールにアクセスすることを禁止する場合は、カスタムポリシーを作成し、RAM ユーザーにアタッチする必要があります。 説明
|
|
サービスモジュールレベル:DataWorks コンソールでの操作の権限管理
DataWorks コンソールでの操作のサービスモジュールレベルの権限管理を実行するには、RAM ポリシーを使用する必要があります。| 権限タイプ | 説明 | 手順 | 参照 |
| RAM ユーザーにワークスペースとリソースグループの管理を許可する | デフォルトでは、Alibaba Cloud アカウントを使用してのみ DataWorks リソースとワークスペースを管理できます。たとえば、Alibaba Cloud アカウントを使用して、リソースグループまたはワークスペースの構成を変更したり、リソースグループを削除したりできます。 RAM ユーザーにリソースグループとワークスペースの管理を許可する場合は、カスタムポリシーを作成し、RAM ユーザーにアタッチする必要があります。 |
|
サービスモジュールレベル:さまざまな DataWorks サービスモジュールに対する権限管理
サービスモジュールレベルの権限管理を実行するには、[ワークスペース管理] ページのユーザー管理機能を使用します。| 権限タイプ | 説明 | 手順 |
| RAM ユーザーにワークスペースレベルのロールを割り当てる | RAM ユーザーがワークスペースでデータ開発の操作を実行するには、ワークスペースメンバーとして追加する必要があります。RAM ユーザーに特定のワークスペースレベルのロールを割り当てて、RAM ユーザーが特定のサービスモジュールで操作を実行できるようにすることができます。例:
説明 組み込みおよびカスタムのワークスペースレベルのロールの詳細については、「ワークスペースレベルのロールの権限」をご参照ください。 | |
| RAM ユーザーにグローバルレベルのロールを割り当てる | デフォルトでは、Alibaba Cloud アカウントに属するすべての RAM ユーザーにテナントメンバーロールが割り当てられ、グローバルレベルのサービスモジュールへのアクセスは許可されますが、管理は許可されていません。RAM ユーザーにグローバルレベルのサービスモジュールを管理させ、さまざまなシナリオで権限管理を実装する場合は、RAM ユーザーに必要なグローバルレベルのロールを割り当てる必要があります。例:
説明 組み込みおよびカスタムのグローバルレベルのロールの詳細については、「グローバルレベルのサービスに対する権限の管理」をご参照ください。 |
付録 1:RAM ユーザーがすべての操作を実行することを禁止する
ワークスペース管理者は、RAM ユーザーがすべての操作を実行することを禁止するポリシーを RAM ユーザーにアタッチできます。ポリシーがアタッチされると、RAM ユーザーはすべての DataWorks 機能を使用できなくなります。たとえば、RAM ユーザーは DataWorks コンソールで操作を実行したり、さまざまなサービスモジュールの機能を使用したり、API 操作を呼び出したりできません。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*"
}
]
}付録 2:RAM ユーザーが API 操作を呼び出すことを禁止する
ワークスペース管理者は、RAM ユーザーが API 操作を呼び出すことを禁止するポリシーを RAM ユーザーにアタッチできます。ポリシーがアタッチされると、RAM ユーザーは DataWorks API 操作を呼び出すことができなくなります。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "OpenAPI"
}
}
}
]
}付録 3:RAM ユーザーが DataWorks サービスモジュールにアクセスすることを禁止する
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "Page"
}
}
}
]
}