すべてのプロダクト
Search
ドキュメントセンター

DataWorks:カスタム RAM ポリシー

最終更新日:Jun 23, 2026

DataWorks では、カスタム RAM ポリシーを作成して RAM ユーザーにアタッチすることで、きめ細かい権限管理が可能です。カスタムポリシーがアタッチされた RAM ユーザーは、そのポリシーで定義された権限のみを持ちます。このトピックでは、DataWorks とそのコンソールの権限を制御する方法について説明し、一般的なカスタムポリシーの例を示します。

前提条件

注意事項

このトピックでは、カスタムポリシーの例を示します。カスタム RAM ポリシーを作成した後、指定された権限を付与するには、そのポリシーを RAM ユーザーにアタッチする必要があります。RAM ユーザーに権限を付与する方法の詳細については、「RAM ユーザーの権限管理」をご参照ください。

プロダクトレベルの権限ポリシー

ポリシー 1:RAM ユーザーのすべての操作を拒否する

管理者はこのポリシーを RAM ユーザーにアタッチして、すべての DataWorks 機能へのアクセスを拒否できます。このユーザーは、DataWorks コンソール、サービスモジュール、および OpenAPI の呼び出しが使用できなくなります。

ポリシーの例:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*"
        }
    ]
}

ポリシー 2:RAM ユーザーによる OpenAPI の呼び出しを拒否する

管理者はこのポリシーを RAM ユーザーにアタッチして、そのユーザーによる DataWorks OpenAPI の呼び出しを禁止できます。

ポリシーの例:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "dataworks:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "dataworks:Scope": "OpenAPI"
        }
      }
    }
  ]
}

ポリシー 3:サービスページへのアクセスを拒否する

管理者はこのポリシーを RAM ユーザーにアタッチして、すべての DataWorks サービスページへのアクセスを拒否できます。

説明

ユーザーは、必要な権限を持っていれば、これらのサービスの API を引き続き呼び出すことができます。

ポリシーの例:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dataworks:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dataworks:Scope": "Page"
                }
            }
        }
    ]
}

コンソールエンティティの権限ポリシー

DataWorks は、DataWorks コンソールでの特定の操作に対して、きめ細かい権限管理を行うための以下のカスタムポリシーを提供します。

説明

Resource 要素に関する注意事項:

  • カスタムポリシーを作成する際は、ドル記号 ($) で始まるプレースホルダーを実際の値に置き換えてください。例えば、$regionid を特定のリージョン ID に、$accountid をご利用の Alibaba Cloud アカウントの UID に置き換えます。

  • アスタリスク (*) はワイルドカードです。これを特定の値に置き換えることで、権限の範囲を絞り込むことができます。例えば、workspace/*workspace/workspaceid に変更すると、ポリシーは指定されたワークスペースに限定されます。

エンティティ 1:ワークスペース

アクション

リソース

説明

CreateWorkspace

acs:dataworks:$regionid:$accountid:workspace/*

ワークスペースを作成します。

ModifyWorkspace

acs:dataworks:$regionid:$accountid:workspace/$workspaceName

ワークスペースを変更します。

DeleteWorkspace

acs:dataworks:$regionid:$accountid:workspace/$workspaceName

ワークスペースを削除します。

DisableWorkspace

acs:dataworks:$regionid:$accountid:workspace/$workspaceName

ワークスペースを無効化します。

EnableWorkspace

acs:dataworks:$regionid:$accountid:workspace/$workspaceName

ワークスペースを有効化します。

例:ワークスペースの変更権限を付与する

ポリシーの例:

{
    "Statement": [
        {
            "Action": "dataworks:ModifyWorkspace",
            "Effect": "Allow",
            "Resource": "acs:dataworks:$regionid:$accountid:workspace/$workspaceName"
        }
    ],
    "Version": "1"
}

エンティティ 2:リソースグループ

アクション

リソース

説明

注意事項

ListResourceGroup

acs:dataworks:$regionid:$accountid:exclusive_resource_group/*

コンソールに [専用リソースグループ] タブを表示します。この権限がない場合、タブは表示されません。

ListResourceGroupShowResourceGroupDetail の権限は、通常、[専用リソースグループ] タブへのアクセスを制御するために一緒に使用されます。

  • ListResourceGroup 権限のみの場合:ユーザーには [専用リソースグループ] タブが表示されますが、ページは空白になります。

  • ListResourceGroupShowResourceGroupDetail の両方の権限がある場合:ユーザーには [専用リソースグループ] タブが表示され、ShowResourceGroupDetail アクションで許可されたリソースグループの詳細を表示できます。

説明
  • ShowResourceGroupDetail 権限は、ListResourceGroup 権限も付与されている場合にのみ有効です。ShowResourceGroupDetail 権限のみを持つユーザーは、どの専用リソースグループの詳細も表示できません。

  • AliyunDataWorksReadOnlyAccess システムポリシーには、ListResourceGroupShowResourceGroupDetail の権限がすでに含まれています。

ShowResourceGroupDetail

acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName

指定された名前のリソースグループの詳細を表示します。

CreateResourceGroup

acs:dataworks:$regionid:$accountid:exclusive_resource_group/*

専用リソースグループを作成します。

この権限は、ユーザーが既存の注文に基づいて DataWorks コンソールでリソースグループを作成することを許可するものであり、新しい専用リソースを購入する権限ではありません。リソースグループの購入、スケールアップ、スケールダウン、更新、または仕様変更には、AliyunDataWorksFullAccessAliyunBSSOrderAccess の権限が必要です。

ModifyResourceGroup

acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName

専用リソースグループを変更します。

-

  • 例 1:表示および管理権限を付与する

    ポリシーの例:

    {
    "Statement": [
    {
    "Action": "dataworks:ListResourceGroup",
    "Effect": "Allow",
    "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/*"
    },
    {
    "Action": "dataworks:ShowResourceGroupDetail",
    "Effect": "Allow",
    "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/resourceGroupName2"
    },
    {
    "Action": "dataworks:ModifyResourceGroup",
    "Effect": "Allow",
    "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/resourceGroupName2"
    }
    ],
    "Version": "1"
    }
  • 例 2:表示、作成、変更の権限を付与する

    説明

    この権限は、既存の注文からリソースグループを作成することを許可するものであり、新しいリソースを購入する権限ではありません。

    ポリシーの例:

    {
      "Statement": [
        {
          "Action": "dataworks:ListResourceGroup",
          "Effect": "Allow",
          "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/*"
        },
        {
          "Action": "dataworks:ShowResourceGroupDetail",
          "Effect": "Allow",
          "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*"
        },
        {
          "Action": "dataworks:CreateResourceGroup",
          "Effect": "Allow",
          "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*"
        },
        {
          "Action": "dataworks:ModifyResourceGroup",
          "Effect": "Allow",
          "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName1"
        },
        {
          "Action": "dataworks:ModifyResourceGroup",
          "Effect": "Allow",
          "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName2"
        }
      ],
      "Version": "1"
    }

エンティティ 3:アラート

アクション

リソース

説明

ListContacts

acs:dataworks:$regionid:$accountid:contacts_ram_user/*

アラート連絡先を一覧表示します。

ModifyContacts

acs:dataworks:$regionid:$accountid:contacts_ram_user/*

アラート連絡先の情報を変更します。

ListAlarmResource

acs:dataworks:$regionid:$accountid:alarm_resource/*

アラートリソースを一覧表示します。

SetUpperLimits

acs:dataworks:$regionid:$accountid:alarm_resource/*

アラートの上限を設定します。

例:アラートを管理する権限を付与する

ポリシーの例:

{
  "Statement": [
    {
      "Action": "dataworks:ListAlarmResource",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "dataworks:SetUpperLimits",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:alarm_resource/*"
    },
    {
      "Action": "dataworks:ListContacts",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
    },
    {
      "Action": "dataworks:ModifyContacts",
      "Effect": "Allow",
      "Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
    }
  ],
  "Version": "1"
}