DataWorks では、カスタム RAM ポリシーを作成して RAM ユーザーにアタッチすることで、きめ細かい権限管理が可能です。カスタムポリシーがアタッチされた RAM ユーザーは、そのポリシーで定義された権限のみを持ちます。このトピックでは、DataWorks とそのコンソールの権限を制御する方法について説明し、一般的なカスタムポリシーの例を示します。
前提条件
-
RAM ポリシーの構文と構造を理解していること。詳細については、「ポリシーの構文と構造」をご参照ください。
-
DataWorks とそのコンソールの権限管理の基本を理解していること。詳細については、「プロダクトとコンソールの権限:RAM ポリシー」をご参照ください。
注意事項
このトピックでは、カスタムポリシーの例を示します。カスタム RAM ポリシーを作成した後、指定された権限を付与するには、そのポリシーを RAM ユーザーにアタッチする必要があります。RAM ユーザーに権限を付与する方法の詳細については、「RAM ユーザーの権限管理」をご参照ください。
プロダクトレベルの権限ポリシー
ポリシー 1:RAM ユーザーのすべての操作を拒否する
管理者はこのポリシーを RAM ユーザーにアタッチして、すべての DataWorks 機能へのアクセスを拒否できます。このユーザーは、DataWorks コンソール、サービスモジュール、および OpenAPI の呼び出しが使用できなくなります。
ポリシーの例:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*"
}
]
}
ポリシー 2:RAM ユーザーによる OpenAPI の呼び出しを拒否する
管理者はこのポリシーを RAM ユーザーにアタッチして、そのユーザーによる DataWorks OpenAPI の呼び出しを禁止できます。
ポリシーの例:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "OpenAPI"
}
}
}
]
}
ポリシー 3:サービスページへのアクセスを拒否する
管理者はこのポリシーを RAM ユーザーにアタッチして、すべての DataWorks サービスページへのアクセスを拒否できます。
ユーザーは、必要な権限を持っていれば、これらのサービスの API を引き続き呼び出すことができます。
ポリシーの例:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "dataworks:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dataworks:Scope": "Page"
}
}
}
]
}
コンソールエンティティの権限ポリシー
DataWorks は、DataWorks コンソールでの特定の操作に対して、きめ細かい権限管理を行うための以下のカスタムポリシーを提供します。
Resource 要素に関する注意事項:
-
カスタムポリシーを作成する際は、ドル記号 (
$) で始まるプレースホルダーを実際の値に置き換えてください。例えば、$regionidを特定のリージョン ID に、$accountidをご利用の Alibaba Cloud アカウントの UID に置き換えます。 -
アスタリスク (
*) はワイルドカードです。これを特定の値に置き換えることで、権限の範囲を絞り込むことができます。例えば、workspace/*をworkspace/workspaceidに変更すると、ポリシーは指定されたワークスペースに限定されます。
エンティティ 1:ワークスペース
|
アクション |
リソース |
説明 |
|
CreateWorkspace |
acs:dataworks:$regionid:$accountid:workspace/* |
ワークスペースを作成します。 |
|
ModifyWorkspace |
acs:dataworks:$regionid:$accountid:workspace/$workspaceName |
ワークスペースを変更します。 |
|
DeleteWorkspace |
acs:dataworks:$regionid:$accountid:workspace/$workspaceName |
ワークスペースを削除します。 |
|
DisableWorkspace |
acs:dataworks:$regionid:$accountid:workspace/$workspaceName |
ワークスペースを無効化します。 |
|
EnableWorkspace |
acs:dataworks:$regionid:$accountid:workspace/$workspaceName |
ワークスペースを有効化します。 |
例:ワークスペースの変更権限を付与する
ポリシーの例:
{
"Statement": [
{
"Action": "dataworks:ModifyWorkspace",
"Effect": "Allow",
"Resource": "acs:dataworks:$regionid:$accountid:workspace/$workspaceName"
}
],
"Version": "1"
}
エンティティ 2:リソースグループ
|
アクション |
リソース |
説明 |
注意事項 |
|
ListResourceGroup |
acs:dataworks:$regionid:$accountid:exclusive_resource_group/* |
コンソールに [専用リソースグループ] タブを表示します。この権限がない場合、タブは表示されません。 |
説明
|
|
ShowResourceGroupDetail |
acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName |
指定された名前のリソースグループの詳細を表示します。 |
|
|
CreateResourceGroup |
acs:dataworks:$regionid:$accountid:exclusive_resource_group/* |
専用リソースグループを作成します。 |
この権限は、ユーザーが既存の注文に基づいて DataWorks コンソールでリソースグループを作成することを許可するものであり、新しい専用リソースを購入する権限ではありません。リソースグループの購入、スケールアップ、スケールダウン、更新、または仕様変更には、 |
|
ModifyResourceGroup |
acs:dataworks:$regionid:$accountid:exclusive_resource_group/$resourceGroupName |
専用リソースグループを変更します。 |
- |
-
例 1:表示および管理権限を付与する
ポリシーの例:
{ "Statement": [ { "Action": "dataworks:ListResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/*" }, { "Action": "dataworks:ShowResourceGroupDetail", "Effect": "Allow", "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/resourceGroupName2" }, { "Action": "dataworks:ModifyResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/resourceGroupName2" } ], "Version": "1" } -
例 2:表示、作成、変更の権限を付与する
説明この権限は、既存の注文からリソースグループを作成することを許可するものであり、新しいリソースを購入する権限ではありません。
ポリシーの例:
{ "Statement": [ { "Action": "dataworks:ListResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:*:$accountid:exclusive_resource_group/*" }, { "Action": "dataworks:ShowResourceGroupDetail", "Effect": "Allow", "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*" }, { "Action": "dataworks:CreateResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/*" }, { "Action": "dataworks:ModifyResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName1" }, { "Action": "dataworks:ModifyResourceGroup", "Effect": "Allow", "Resource": "acs:dataworks:cn-shanghai:$accountid:exclusive_resource_group/resourceGroupName2" } ], "Version": "1" }
エンティティ 3:アラート
|
アクション |
リソース |
説明 |
|
ListContacts |
acs:dataworks:$regionid:$accountid:contacts_ram_user/* |
アラート連絡先を一覧表示します。 |
|
ModifyContacts |
acs:dataworks:$regionid:$accountid:contacts_ram_user/* |
アラート連絡先の情報を変更します。 |
|
ListAlarmResource |
acs:dataworks:$regionid:$accountid:alarm_resource/* |
アラートリソースを一覧表示します。 |
|
SetUpperLimits |
acs:dataworks:$regionid:$accountid:alarm_resource/* |
アラートの上限を設定します。 |
例:アラートを管理する権限を付与する
ポリシーの例:
{
"Statement": [
{
"Action": "dataworks:ListAlarmResource",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "dataworks:SetUpperLimits",
"Effect": "Allow",
"Resource": "acs:dataworks:$regionid:$accountid:alarm_resource/*"
},
{
"Action": "dataworks:ListContacts",
"Effect": "Allow",
"Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
},
{
"Action": "dataworks:ModifyContacts",
"Effect": "Allow",
"Resource": "acs:dataworks:$regionid:$accountid:contacts_ram_user/*"
}
],
"Version": "1"
}