DataWorks では、ワークスペースのメンバーに異なるロールを割り当てることで、ワークスペースレベルのサービスに対するさまざまな権限を付与できます。メンバーに割り当て可能なロールには、組み込みのワークスペースレベルのロールとカスタムのワークスペースレベルのロールがあります。組み込みのワークスペースレベルのロールには、特定のワークスペースレベルのサービスに対する固定の権限が付与されます。カスタムのワークスペースレベルのロールは、メンバーのワークスペースレベルのサービスに対する読み取りおよび書き込み権限を制御するために使用できます。このトピックでは、ワークスペースレベルのサービスの権限管理に使用できるワークスペースレベルのロールと、ワークスペースメンバーのサービス権限を管理するための基本操作について説明します。
背景情報
DataWorks では、メンバー数に制限はありません。RAM ユーザーを承認することで、チームメンバーを追加できます。ワークスペースで RAM ユーザーを承認すると、そのユーザーは DataWorks にアクセスして共同で開発作業を行うことができます。
|
番号 |
説明 |
参考資料 |
|
1 |
DataWorks のワークスペースは、さまざまなロールを使用して共同でデータ開発を行うための基本単位です。すべてのデータ開発操作は、特定のワークスペースで行われます。RAM ユーザーに共同でデータ開発操作を許可する場合は、その RAM ユーザーをメンバーとしてワークスペースに追加し、ビジネス要件に基づいてロールを割り当てる必要があります。 DataWorks が提供する組み込みのワークスペースレベルのロールをメンバーに割り当てることができます。たとえば、開発ロールをメンバーに割り当てると、そのメンバーはワークスペースでデータ開発操作を実行できますが、デプロイ操作は実行できません。 |
|
|
2 |
組み込みのワークスペースレベルのロールがビジネス要件を満たせない場合は、カスタムのワークスペースレベルのロールを作成し、そのロールを RAM ユーザーに割り当てることができます。これにより、特定のワークスペースレベルのサービスに対する RAM ユーザーの権限を制御できます。たとえば、カスタムのワークスペースレベルのロールを作成して RAM ユーザーに割り当てることで、その RAM ユーザーの DataService Studio へのアクセス権限を拒否できます。 |
|
|
3 |
DataWorks のワークスペースレベルのサービスにおける権限管理は、ロールベースアクセス制御 (RBAC) モデルに基づいて行われます。RAM ユーザーをメンバーとしてワークスペースに追加し、ワークスペースレベルのロールを割り当てると、そのメンバーには関連するワークスペースレベルのサービスに対するロールの権限が付与されます。 |
制限事項
-
カスタムロールをサポートしているのは、DataWorks Enterprise Edition のワークスペースのみです。DataWorks のエディションについては、「DataWorks:エディション別の機能」をご参照ください。ご利用のワークスペースが DataWorks Enterprise Edition でない場合は、使用している DataWorks サービスをこのエディションにアップグレードできます。DataWorks Advanced Edition の課金については、「エディションと課金」をご参照ください。
説明DataWorks のエディションをアップグレードする際にサブスクリプション期間を調整する必要がある場合は、まず現在のエディションの登録を解除してから、希望する新しいエディションを購入することを推奨します。下位エディションから上位エディションに直接アップグレードする場合、現在の課金サイクルの残り期間に対する差額を支払う必要があります。
-
スペース管理者 と Workspace Owner のみが、メンバーの追加、メンバーロールの変更、および Member と Custom Role の削除を実行できます。
-
DataWorks のカスタムのワークスペースレベルのロールと MaxCompute プロジェクトのロールとの間のマッピングを設定できるのは、MaxCompute プロジェクトの Admin または Super_Administrator ロールが割り当てられた RAM ユーザー、または Alibaba Cloud アカウント (root ユーザー) のみです。
-
組み込みロールの権限は変更できません。
ワークスペースレベルのロール
DataWorks ワークスペースは、メンバーやロールなどのアイデンティティを提供します。 ユーザーのニーズに基づいてロールを付与できます。 DataWorks は、固定の権限を持つ組み込みのワークスペースレベルのロールを提供します。 これらの組み込みロールが要件を満たさない場合は、ロール管理 ページでカスタムワークスペースレベルのロールを定義することもできます。
組み込みのワークスペースレベルのロール
デフォルトでは、DataWorks が提供する組み込みのワークスペースレベルのロールは、すべてのワークスペースレベルのサービスに対する読み取り権限を持っています。異なる組み込みのワークスペースレベルのロールの管理権限と操作権限は、サービスごとに異なります。次の表では、組み込みのワークスペースレベルのロールと、各ロールが持つワークスペースレベルのサービスに対する権限について説明します。
ワークスペースのオーナーは Alibaba Cloud アカウントです。RAM ユーザーは、Alibaba Cloud アカウントに代わってのみワークスペースを作成できます。Project Owner ロールを別のユーザーに割り当てることはできません。さまざまな DataWorks モジュールにおける各組み込みロールの権限の詳細については、「付録: 組み込みロールの権限リスト (ワークスペースレベル)」をご参照ください。
|
ロール |
説明 |
|
Project Owner |
ワークスペースオーナーは、ワークスペース内のすべての権限を持ち、通常は Alibaba Cloud アカウント (root ユーザー) です。たとえば、必要に応じて RAM ユーザーにロールを割り当てたり、オーナー以外のメンバーをワークスペースから削除したりできます。 |
|
スペース管理者 |
このロールの権限は、ワークスペース管理者ロールに次ぐものです。ワークスペース管理者ロールは、メンバーをワークスペースに追加する、ワークスペースからメンバーを削除する、メンバーにロールを割り当てるなどの操作も実行できます。 |
|
データアナリスト |
このロールは、データ分析に対する権限のみを持ちます。 |
|
Development |
このロールは、ワークスペースの DataStudio ページでデータ開発およびメンテナンス操作を行う権限を持ちます。 説明
|
|
O&M |
このロールには、[デプロイタスクの作成] ページで本番環境にタスクをデプロイし、[オペレーションセンター] でワークスペース内のすべてのタスクに対して O&M 操作を実行する権限があります。 |
|
Deployment |
複数のワークスペースを使用する環境において、このロールはタスクコードをレビューし、O&M への提出を決定します。 |
|
Visitor |
このロールは、ワークスペースの DataStudio ページでワークフローとコードに対する読み取り専用権限を持ちます。 |
|
Security Administrator |
このロールは、データセキュリティガードに対する権限のみを持ちます。 |
|
Model Designer |
このロールは、データモデリングでモデルを表示する権限と、データウェアハウス計画、データ標準、ディメンショナルモデリング、およびデータメトリクスでパラメーター構成を変更する権限を持ちます。このロールには、モデルを公開する権限はありません。 |
|
Data Governance Administrator |
このロールは、データガバナンスセンターで、このロールが属するワークスペースのデータガバナンスコンテンツを表示および管理する権限を持ちます。 説明
|
カスタムのワークスペースレベルのロール
DataWorks のカスタムワークスペースレベルのロールを使用すると、特定のワークスペースレベルのモジュールを使用する権限がロールにあるかどうかを制御できます。 DataWorks は、ワークスペースレベルのモジュールに対する読み取りおよび書き込み権限の制御をサポートしています。 MaxCompute コンピュートエンジンを使用する場合、エンジン権限マッピングの設定 セクションを使用して、エンジンリソースに対する操作権限をロールに付与することもできます。 カスタムロールの作成手順については、「カスタムワークスペースレベルのロールを作成する」をご参照ください。 [カスタムロールの追加] ダイアログボックスで、ロール名を入力し、[DataWorks 権限] セクションでモジュールの権限を設定します。 [マッピングの設定...] セクションで、ロールをコンピュートエンジンにマップすることもできます。 [作成] をクリックしてロールを保存します。
-
No permission:ロールは対応するモジュールを表示する権限を持ちません。
-
Read-only:ロールは対応するモジュール内の情報を表示することしかできず、そのデータを変更することはできません。
-
読み取りと書き込み:ロールは対応するモジュール内のデータを変更できます。
RAM ユーザーのワークスペースへの追加とロールの割り当て
RAM ユーザーをメンバーとしてワークスペースに追加した後、ビジネス要件に基づいて組み込みのワークスペースレベルのロールをメンバーに割り当てることができます。デフォルトでは、RAM ユーザーがメンバーとしてワークスペースに追加されると、そのメンバーはすべてのワークスペースレベルのサービスにアクセスできます。特定のワークスペースレベルのサービスへのアクセスをメンバーに禁止したい場合は、そのサービスへのアクセス権限が拒否されたカスタムのワークスペースレベルのロールを作成し、そのロールをメンバーに割り当てることができます。これにより、メンバーはそのワークスペースレベルのサービスにアクセスできなくなります。
ステップ 1:[ワークスペースメンバー] タブへの移動
-
管理センターに移動します。
-
Work space ページで、スペースメンバー をクリックします。
ステップ 2:RAM ユーザーのメンバーとしての追加とワークスペース内のメンバー管理
-
スペースメンバー タブで、右上隅の Add Member をクリックします。
-
Add Member ダイアログボックスで、追加するアカウント セクションから、追加するメンバーアカウントを選択します。
操作
説明
ワークスペースにメンバーとして追加したい RAM ユーザーを選択します
追加するアカウント リストには、現在の Alibaba Cloud アカウント配下のすべての RAM ユーザーが表示されます。[>] アイコンをクリックして、現在のワークスペースに追加したい RAM ユーザーを移動させると、そのユーザーは共同開発のメンバーになります。
説明対象の RAM ユーザーがリストに表示されない場合は、インターフェイスの上部にあるRefreshボタンをクリックしてください。
一度に複数のロールを RAM ユーザーに割り当てます
選択した RAM ユーザーに割り当てたいロールを選択します。これにより、選択したロールが同時に RAM ユーザーに割り当てられ、RAM ユーザーにはそれらのロールの権限が付与されます。RAM ユーザーには、組み込みのワークスペースレベルのロールまたはカスタムのワークスペースレベルのロールを割り当てることができます。カスタムのワークスペースレベルのロールを RAM ユーザーに割り当てる前に、次のサブセクションで説明する操作を参照して、カスタムのワークスペースレベルのロールを作成する必要があります。
説明-
MaxCompute コンピュートエンジンを使用している場合、DataWorks の組み込みワークスペースレベルのロールにマッピングされたいくつかの組み込みロールが提供されます。DataWorks はこれらのマッピングを使用して、DataWorks のロールを持つ RAM ユーザーに対応する開発エンジンロールの権限を付与します。ただし、本番環境の権限はデフォルトでは付与されません。
-
ワークスペースのメンバーに MaxCompute コンピュートエンジンインスタンスの権限を付与する方法については、「MaxCompute コンピュートエンジン内のデータ権限の管理」をご参照ください。
-
DataWorks の組み込みワークスペースレベルのロールと MaxCompute コンピュートエンジンの組み込みロールとの間のマッピングについては、「ロールマッピング:DataWorks vs MaxCompute」をご参照ください。
-
-
ワークスペースで他の種類のコンピュートエンジンをワークスペースメンバーとして使用したい場合、ワークスペースレベルのロールをメンバーに割り当てることでは、そのコンピュートエンジンの権限をメンバーに付与することはできません。
-
-
Determine をクリックして、ワークスペースメンバーの追加を完了します。
スペースメンバー タブでは、現在の DataWorks ワークスペース内のすべてのメンバーのアカウント、ロール、その他の情報を表示できます。フィルター条件を使用して特定のメンバーを特定し、Role 列でそのメンバーに組み込みまたはカスタムのワークスペースレベルのロールを付与または取り消すことができます。また、Operation 列で Remove をクリックして、現在のワークスペースからユーザーを削除することもできます。
(任意) カスタムのワークスペースレベルのロールの作成
組み込みワークスペースロールの権限は変更できません。組み込みロールが権限コントロールの要件を満たさない場合は、スペースの役割 ページでカスタムロールを作成できます。
-
スペースの役割 タブで、カスタムロールの追加 をクリックします。
-
[カスタムロールの作成] ダイアログボックスで、ロールの名前を指定し、ロールに対する各ワークスペースレベルのサービスの権限設定を構成します。
-
No permission:ロールは対応するモジュールを表示する権限を持ちません。
-
Read-only:ロールは対応するモジュール内の情報を表示することしかできず、そのデータを変更することはできません。
-
読み取りと書き込み:ロールは対応するモジュール内のデータを変更できます。
-
-
エンジン権限マッピングの設定 セクションで Add をクリックし、新しいカスタム DataWorks ロールと他のエンジンの権限のマッピングを設定します。これにより、ロールに対応するエンジンの権限が付与されます。
ワークスペースで MaxCompute コンピュートエンジンを使用したい場合は、カスタムのワークスペースレベルのロールを作成する際に、MaxCompute コンピュートエンジンの組み込みロールを指定し、カスタムのワークスペースレベルのロールと MaxCompute コンピュートエンジンのロールとの間のマッピングを設定できます。これにより、カスタムのワークスペースレベルのロールがワークスペースのメンバーに割り当てられた後、そのメンバーには自動的に MaxCompute コンピュートエンジンの組み込みロールの権限が付与されます。さまざまな種類のコンピュートエンジンのロールと DataWorks のロールとの間のマッピングについては、「付録:DataWorks の組み込みワークスペースレベルのロールと MaxCompute のロールとの間のマッピング」をご参照ください。
-
設定の開始 をクリックします。
カスタムロールが作成され、成功メッセージが表示されます。その後、メンバーを追加する際に、このロールをメンバーに関連付けることができます。また、ロール管理 タブで Custom Role を編集または削除することもできます。