DataWorks では、ロールベースアクセス制御 (RBAC) を使用して、ワークスペースのメンバーが各サービスで実行できる操作を管理します。ワークスペースに追加できるメンバー数には制限はありません。標準的なアクセスパターンには組み込みロールを割り当て、特定のサービスに対するアクセスの付与または制限が必要な場合は、カスタムロールを作成してください。
本ページでは、ワークスペースレベルのロールおよびメンバー管理について説明します。MaxCompute などのコンピュートエンジン内にあるデータに対する権限については、「MaxCompute コンピュートエンジン内のデータに対する権限管理」をご参照ください。
メンバーおよびロールの管理が可能なユーザー
| タスク | 必要なロール |
|---|---|
| メンバーの追加 | ワークスペースオーナーまたはワークスペース管理者 |
| ロール割り当ての変更 | ワークスペースオーナーまたはワークスペース管理者 |
| メンバーの削除 | ワークスペースオーナーまたはワークスペース管理者 |
| カスタムロールの削除 | ワークスペースオーナーまたはワークスペース管理者 |
| カスタムロールと MaxCompute プロジェクトロールのマッピング | Alibaba Cloud アカウント、または MaxCompute プロジェクト内で Admin または Super_Administrator ロールを持つ RAM ユーザー |
ワークスペースレベルのロール
DataWorks では、ワークスペースレベルのロールとして以下の 2 種類を提供しています。
組み込みロール — 固定の権限セットです。すべての組み込みロールは、デフォルトですべてのワークスペースレベルのサービスに対して読み取りアクセス権を持ちます。これらの権限は変更できません。
カスタムロール — 各サービスごとに 権限なし、読み取り専用、または 読み取りおよび書き込み のいずれかのアクセス権を設定可能なロールです。DataWorks Enterprise Edition のみで利用可能です。
組み込みロール
| ロール | 機能 |
|---|---|
| ワークスペースオーナー | ワークスペースに対する完全な権限を持ちます。常に Alibaba Cloud アカウント (root ユーザー) であり、RAM ユーザーには割り当てられません。ロールの割り当ておよび所有者以外のメンバーの削除が可能です。 |
| ワークスペース管理者 | 2 番目に高い権限レベルです。メンバーの追加・削除およびロールの割り当てが可能です。 |
| 開発 | DataStudio におけるデータ開発およびメンテナンスが可能です。タスクのデプロイはできません。デプロイを行うには、O&M または ワークスペース管理者 ロールも併せて割り当てる必要があります。 |
| O&M | 「デプロイタスクの作成」ページからタスクを本番環境へデプロイし、オペレーションセンターで全タスクの O&M 操作を実行できます。 |
| デプロイ | 標準モードで、タスクコードのレビューおよびオペレーションセンターへのコミットを行います。 |
| ビジター | DataStudio 内のワークフローおよびコードを読み取り専用で表示できます。 |
| データアナリスト | データ分析 (DataAnalysis) へのみアクセス可能です。DataStudio やその他のサービスにはアクセスできません。 |
| セキュリティ管理者 | データセキュリティガード (Data Security Guard) へのみアクセス可能です。DataStudio やその他のサービスにはアクセスできません。 |
| モデルデザイナー | データモデリング (Data Modeling) でモデルを閲覧できます。データウェアハウス計画 (Data Warehouse Planning)、データ標準 (Data Standard)、ディメンショナルモデリング (Dimensional Modeling)、データメトリクス (Data Metric) におけるパラメーターの変更が可能です。ただし、モデルの公開はできません。 |
| データガバナンス管理者 | データガバナンスセンター (Data Governance Center) で、このワークスペースに関するデータガバナンスコンテンツを閲覧および管理できます。ただし、ワークスペース間またはグローバルなガバナンス権限は持ちません。リージョン内のすべてのワークスペースにまたがるグローバルなガバナンス操作を実行するには、テナントレベルのデータガバナンス管理者ロール を割り当ててください。 |
ワークスペースオーナー は、ワークスペースの作成に使用された Alibaba Cloud アカウントです。RAM ユーザーがワークスペースを作成した場合、その RAM ユーザーが所属する Alibaba Cloud アカウントがオーナーとなります。
詳細な権限マトリックスについては、「組み込みワークスペースレベルロールの権限」をご参照ください。
カスタムロール
カスタムロールでは、各ワークスペースレベルのサービスに対して以下の 3 つの権限レベルのいずれかを設定できます。
| 権限レベル | アクセス |
|---|---|
| 権限なし | 該当サービスへのアクセス不可 |
| 読み取り専用 | 該当サービス内のデータを閲覧可能 |
| 読み取りおよび書き込み | 該当サービス内のデータを閲覧および変更可能 |
MaxCompute を使用している場合、カスタムロールを MaxCompute ロールにマップすることで、カスタムロールが割り当てられたメンバーが自動的に対応する MaxCompute 権限を取得できます。
カスタムロールは DataWorks Enterprise Edition でのみ利用可能です。エディションの違いについては、「DataWorks エディションの違い」をご参照ください。課金については、「DataWorks エディションの課金」をご参照ください。
スペックアップを行うには、まず現在のエディションのサブスクリプションを登録解除してから、新しいエディションを購入してください。直接スペックアップする場合は、残存期間分の価格差額を支払う必要があります。「一般リファレンス:DataWorks の機能またはリソースの利用停止」トピックをご参照のうえ、登録解除手順を実施してください。
メンバーの追加とロールの割り当て
ステップ 1:ワークスペースメンバー タブに移動
管理センターに移動します。
左側のナビゲーションウィンドウで、ワークスペースメンバーとロール をクリックします。ワークスペース ページで、ワークスペースメンバー タブをクリックします。
ステップ 2:RAM ユーザーをメンバーとして追加
ワークスペースメンバー タブの右上隅で、メンバーの追加 をクリックします。
メンバーの追加 ダイアログボックスで、利用可能なアカウント リストから 1 名以上の RAM ユーザーを選択し、> アイコンをクリックして、選択済みアカウント リストに移動させます。
RAM ユーザーがリストに表示されない場合は、ダイアログボックス上部のメッセージ内にある 更新 をクリックしてください。
メンバーに割り当てるロールを選択します。組み込みロール、カスタムロール、または両者の組み合わせを割り当てることができます。カスタムロールを割り当てる場合は、先に作成してください。
DataWorks の組み込みワークスペースロールは、開発環境において自動的に MaxCompute の組み込みロールにマップされます。ただし、メンバーは本番環境の MaxCompute 権限を自動的に取得しません。本番環境へのアクセス権を付与するには、「MaxCompute コンピュートエンジン内のデータに対する権限管理」をご参照ください。ロールマッピングの詳細については、「付録:DataWorks の組み込みワークスペースレベルロールと MaxCompute のロールのマッピング」をご参照ください。その他のコンピュートエンジンタイプでは、ワークスペースレベルのロールはコンピュートエンジンの権限を付与しません。
確認 をクリックします。
追加後、ワークスペースメンバー タブには、各メンバーのアカウントおよび割り当てられたロールが表示されます。ロール 列を使用してロール割り当てを変更したり、操作 列の 削除 をクリックしてメンバーを削除したりできます。
カスタムロールの作成
ワークスペース ページで、ワークスペースロール タブをクリックし、カスタムロールの作成 をクリックします。
カスタムロールの作成 ダイアログボックスで、ロール名を入力し、各ワークスペースレベルのサービスに対して権限レベルを設定します。
(任意)DataWorks カスタムロールとコンピュートエンジンのロール間のマッピングの設定 セクションで、追加 をクリックして、このロールを MaxCompute ロールにマップします。このカスタムロールが割り当てられたメンバーは、マップされた MaxCompute ロールの権限を自動的に取得します。マッピングの詳細については、「付録:DataWorks の組み込みワークスペースレベルロールと MaxCompute のロールのマッピング」をご参照ください。
作成 をクリックします。作成完了 メッセージが表示されたら、カスタムロールをメンバーに割り当てられるようになります。
カスタムロールの編集または削除を行うには、ワークスペースロール タブを使用してください。