DataWorks では、テナントレベルのロールをメンバーに割り当てることで、テナント内のメンバーにグローバルレベルサービスに対するさまざまな権限を付与できます。DataWorks は、組み込みのテナントレベルロールを提供し、カスタムテナントレベルロールの作成も可能です。このトピックでは、グローバルレベルサービスの権限を管理するために使用できるテナントレベルロールと、グローバルレベルサービスに対するテナントメンバーの権限を管理するために行える基本操作について説明します。
背景情報
DataWorks サービスのページの上部ナビゲーションバーにワークスペース名が表示されていない場合、そのサービスは [データマップ] などのグローバルレベルサービスです。
DataWorks は、テナントレベルのメンバーやロールなどの ID を提供します。RAM ユーザーとしてグローバルレベルサービスにアクセスするには、RAM ユーザーに必要なテナントレベルロールが割り当てられている必要があります。
DataWorks は、組み込みのテナントレベルロールを提供します。たとえば、DataWorks は、データマップのカテゴリ表示と管理の権限が定義された組み込みのテナントレベルロールを提供しており、メンバーにロールを割り当てて、メンバーに関連する権限があるかどうかを制御できます。
組み込みのテナントレベルロールがビジネス要件を満たせない場合は、カスタムテナントレベルロールを作成し、RAM ユーザーに割り当てることができます。これにより、特定のグローバルレベルサービスに対する RAM ユーザーの権限を制御できます。
たとえば、データマップへのアクセスを拒否するカスタムテナントレベルロールを作成し、RAM ユーザーに割り当てることができます。これにより、RAM ユーザーはデータマップにアクセスできなくなります。詳細については、「グローバルレベルサービスの権限を管理するために使用できるテナントレベルロール」をご参照ください。
DataWorks のグローバルレベルサービスの権限管理は、ロールベースのアクセス制御(RBAC)モデルに基づいて実行されます。テナントレベルロールを RAM ユーザーに割り当てると、RAM ユーザーには、関連する DataWorks サービスに対するロールの権限が付与されます。詳細については、「メンバー権限管理」をご参照ください。
制限事項
DataWorks Enterprise Edition のワークスペースのみが、カスタムテナントレベルロールをサポートしています。詳細については、「DataWorks エディション間の違い」をご参照ください。ワークスペースが DataWorks Enterprise Edition でない場合は、DataWorks をこのエディションにアップグレードできます。詳細については、「DataWorks エディションの課金」をご参照ください。
テナントレベルロールは、Alibaba Cloud アカウント、テナント管理者ロール、または AliyunDataWorksFullAccess ポリシーまたは AdministratorAccess ポリシーがアタッチされた RAM ユーザーを使用して管理できます。
グローバルレベルサービスの権限を管理するために使用できるテナントレベルロール
デフォルトでは、RAM ユーザーは DataWorks テナントのメンバーであり、テナントメンバーはほとんどのテナントレベルサービスにアクセスできますが、サービス管理操作を実行することはできません。組み込みまたはカスタムのテナントレベルロールを使用して、ユーザーがテナントレベルサービスの管理権限を持っているかどうかを制御できます。また、カスタムテナントレベルロールを使用して、ユーザーが特定のグローバルレベルサービスに対する読み取りおよび書き込み権限を持っているかどうかを制御することもできます。
組み込みのテナントレベルロール
次の表に、DataWorks によって提供される組み込みのテナントレベルロールと各ロールの権限を示します。
ロール | 権限の説明 |
テナントオーナー | このロールは、DataWorks に対する最高の権限を持っています。デフォルトでは、テナントオーナーは Alibaba Cloud アカウントであり、Alibaba Cloud アカウントのみが可能です。
|
テナント管理者 |
説明 このロールには、DataWorksコンソールで制御および管理操作を実行する権限がありません。DataWorksコンソールで制御および管理操作を実行するための権限については、RAMポリシーを使用してDataWorksサービスおよびDataWorksコンソール内のエンティティに対する権限を管理する をご参照ください。 |
テナントユーザー | デフォルトでは、DataWorks コンソールにログオンするために使用される Alibaba Cloud アカウント内のすべての RAM ユーザーとロールにこのロールが割り当てられ、現在の DataWorks テナント内のメンバーとして機能します。
|
セキュリティ管理者 |
|
コンプライアンス マネージャー |
|
OpenPlatform 管理者 | このロールは、開発者バックエンドに対する読み取りおよび書き込み権限を持っています。 |
データガバナンス管理者 | このロールは、データガバナンスセンターに対する読み取りおよび書き込み権限を持っています。また、このロールは、ガバナンス評価レポート、検出されたデータガバナンスの問題、およびチェックイベントを表示し、関連する修正操作を実行する権限も持っています。 説明 データガバナンスセンターの一部の操作には、関連サービスのロールと権限が必要です。詳細については、「データガバナンスセンター」をご参照ください。 |
カスタムテナントレベルロール | カスタムテナントレベルロールを使用して、ユーザーが特定のテナントレベルサービスの管理権限を持っているかどうかを制御できます。 |
カスタムテナントレベルロール
DataWorks では、カスタムテナントレベルロールを作成し、ロールが特定のグローバルレベルサービスに対する権限を持っているかどうかを制御できます。次の表に、カスタムテナントレベルロールを使用して権限を制御できるグローバルレベルサービスを示します。
グローバルレベルサービス | 権限設定 |
データセキュリティガード |
|
データマップ |
説明 プロジェクトのメタデータの表示禁止、テーブルの表示禁止、ワークスペースメンバーではないユーザーがプロジェクト内のテーブルにアクセスすることを禁止する方法など、メタデータへのアクセス権限を管理する方法については、「付録: データマップの権限管理の概要」をご参照ください。 |
データガバナンスセンター |
|
DataAnalysis |
|
承認センター |
|
セキュリティセンター |
|
テナントレベルロールの管理
デフォルトでは、DataWorks コンソールにログオンするために使用される Alibaba Cloud アカウント内のすべての RAM ユーザーは、現在のテナント内のメンバーであり、すべてのグローバルレベルサービスにアクセスする権限を持っています。RAM ユーザーにテナントレベルロールを割り当てて、RAM ユーザーが特定のグローバルレベルサービスにアクセスできるかどうかを制御し、RAM ユーザーにグローバルレベルサービスの管理権限を付与できます。
手順 1: [テナントメンバーとロール] ページに移動します
[管理センター] ページの左側のナビゲーションペインで、[テナントメンバーとロール] をクリックします。
手順 2: (オプション) カスタムテナントレベルロールを作成します
組み込みのテナントレベルロールの権限を変更することはできません。組み込みのテナントレベルロールが権限管理のビジネス要件を満たしていない場合は、カスタムテナントレベルロールを作成し、[テナントメンバーとロール] ページの [テナントロール] タブで、特定のグローバルレベルサービスに対するロールの権限を制御できます。
[テナントメンバーとロール] ページの カスタムロールの作成[テナントロール] タブで、 をクリックします。
[カスタムロールの作成] ダイアログボックスで、ロールの名前を指定し、ロールのグローバルレベルサービスの権限設定を構成します。
[作成] をクリックします。
説明[作成済み] メッセージが表示された場合、カスタムテナントレベルロールが作成されます。後続の操作で、ロールをメンバーに割り当てることができます。
手順 3: メンバーにテナントレベルロールを割り当てるか、メンバーに割り当てられたテナントレベルロールを管理します
[テナントメンバー] タブをクリックします。
メンバーの [ロール] 列で、メンバーにテナントレベルロールを割り当てるか、割り当てられたテナントレベルロールをメンバーから削除します。