DataWorks では、Resource Access Management (RAM) ポリシーを使用して、[dataworks サービス] および [dataworks コンソール] 内のエンティティに対する権限を管理できます。ポリシーを RAM ユーザーまたは RAM ロールにアタッチできます。このようにして、ポリシーで定義されている権限が RAM ユーザーまたは RAM ロールに付与されます。このトピックでは、DataWorks サービスおよび DataWorks コンソール内のエンティティに対する権限を管理するために使用できるポリシーについて説明します。また、Alibaba Cloud アカウントを使用して RAM ユーザーにポリシーをアタッチする方法と、カスタムポリシーを作成する方法についても説明します。
システムポリシーとカスタムポリシーを使用して DataWorks サービスに対する権限を管理する
デフォルトでは、Alibaba Cloud アカウントのみが DataWorks サービスに対する管理権限を持っています。RAM ユーザーとして DataWorks サービスを管理する場合、次の表に示すシステムポリシーを RAM ユーザーにアタッチできます。このようにして、RAM ユーザーには Alibaba Cloud アカウントの管理権限が付与されます。
権限の種類 | 有効範囲 | ポリシー | 説明 | 参照 |
許可 (システムポリシー) | DataWorks サービスの管理 | AliyunDataWorksFullAccess | このシステムポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは Alibaba Cloud アカウントと同じ方法で DataWorks サービスを管理できますが、サービスを購入することはできません。 | RAM ユーザーに権限を付与する方法の詳細については、このトピックの RAM ユーザーに権限を付与する セクションをご参照ください。 |
リソースの購入 | AliyunBSSOrderAccess | このシステムポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは請求管理で注文の表示、支払い、キャンセルを行うことができます。 さらに、RAM ユーザーは DataWorks コンソールでリソースの購入や更新などの操作を実行できます。 | ||
拒否 (カスタムポリシー) | DataWorks での操作の実行 (きめ細かい権限管理) | カスタムポリシー | 関連する権限が拒否されたカスタムポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは DataWorks コンソールにログオンしたり、DataWorks サービスにアクセスしたり、API オペレーションを呼び出したりできなくなります。 | カスタムポリシーの作成方法については、「DataWorks サービスに対する権限を管理するために使用されるカスタムポリシー」をご参照ください。カスタムポリシーを RAM ユーザーにアタッチする方法の詳細については、このトピックの (オプション) カスタムポリシーを作成する セクションをご参照ください。 |
API オペレーションの呼び出し (きめ細かい権限管理) | デフォルトでは、DataWorks サービスに対する権限が付与された RAM ユーザーを使用して、サービスの API オペレーションを呼び出すことができます。RAM ユーザーがすべての API オペレーションを呼び出すことを禁止する場合は、API オペレーションを呼び出す権限が拒否されたカスタムポリシーを作成し、そのカスタムポリシーを RAM ユーザーにアタッチする必要があります。 | |||
DataWorks サービスへのアクセス (きめ細かい権限管理) | デフォルトでは、Alibaba Cloud アカウント内のすべての RAM ユーザーは DataWorks テナントのメンバーです。RAM ユーザーは、メンバーとして追加されているワークスペースのワークスペースレベルのサービスと、すべてのグローバルレベルのサービスにアクセスするために使用できます。 ビジネス要件に基づいて、RAM ユーザーの DataWorks サービスへのアクセス権限を拒否できます。 |
カスタムポリシーを使用して DataWorks コンソール内のエンティティに対する権限をきめ細かく管理する
DataWorks では、DataWorks コンソール内のさまざまな種類のエンティティに関連する操作に対する権限をきめ細かく管理できます。次の表に詳細を示します。
エンティティの種類 | 操作 | 参照 |
ワークスペース |
| RAM ユーザーに DataWorks コンソール内のさまざまな種類のエンティティに関連する操作を実行するためのきめ細かい権限を付与するには、「DataWorks コンソール内のエンティティに対する権限を管理するために使用されるカスタムポリシー」を参照してカスタムポリシーを作成し、このトピックの (オプション) カスタムポリシーを作成する セクションを参照してカスタムポリシーを RAM ユーザーにアタッチする必要があります。 |
リソースグループ |
| |
アラート情報 |
|
RAM ユーザーに権限を付与する
RAM 管理者として [RAM コンソール] にログオンします。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。
[権限の追加] パネルで、RAM ユーザーに権限を付与します。
システムポリシーまたはカスタムポリシーを RAM ユーザーにアタッチできます。カスタムポリシーを RAM ユーザーにアタッチする場合は、最初に カスタムポリシーを作成 する必要があります。RAM ユーザーにアタッチできるシステムポリシーとカスタムポリシーについては、このトピックの システムポリシーとカスタムポリシーを使用して DataWorks サービスに対する権限を管理する セクションをご参照ください。
説明RAM ユーザーに権限を付与する際に設定する必要があるパラメーターについては、「RAM ユーザーに権限を付与する」をご参照ください。
(オプション) カスタムポリシーを作成する
きめ細かい権限管理を実行するには、最初にビジネス要件に基づいてカスタムポリシーを作成する必要があります。システムポリシーを RAM ユーザーまたは RAM ロールにアタッチして粗粒度の権限を付与する場合は、このセクションで説明されている操作を実行する必要はありません。
Alibaba Cloud アカウントを使用して、[RAM コンソール] でカスタムポリシーを作成できます。詳細については、「カスタムポリシーを作成する」をご参照ください。
DataWorks サービスに対する権限を管理するために使用されるカスタムポリシーを作成し、「DataWorks サービスに対する権限を管理するために使用されるカスタムポリシー」を参照してポリシードキュメントを設定できます。
次の図と表を参照して、DataWorks コンソール内のエンティティに対する権限を管理するために使用されるカスタムポリシーを作成できます。
要素
説明
Action
カスタムポリシーの Action 要素は、「カスタムポリシーの作成」トピックの「DataWorks コンソール内のエンティティに対する権限を管理するために使用されるカスタムポリシー」セクションにある関連エンティティの Action 要素の設定を参照して設定できます。前の図を参照して Action 要素を設定できます。
Resource
カスタムポリシーの Resource 要素は、「カスタムポリシーの作成」トピックの「DataWorks コンソール内のエンティティに対する権限を管理するために使用されるカスタムポリシー」セクションにある関連エンティティの Resource 要素の設定を参照して設定できます。前の図を参照して Resource 要素を設定できます。
説明Resource 要素を設定する際は、次の点に注意してください。
カスタムポリシーを作成する場合は、前の図の Resource 要素にあるプレースホルダー
$で始まるコンテンツを特定の ID に置き換えます。たとえば、$regionidはリージョンの ID に、$accountidは Alibaba Cloud アカウントの UID に置き換える必要があります。アスタリスク (
*) はワイルドカードです。アスタリスクを特定の値に置き換えて、権限管理の範囲を縮小できます。たとえば、workspace/*をworkspace/workspaceidに置き換えると、ポリシーは指定されたワークスペースで有効になります。