DataWorks は、製品レベルの権限とモジュールレベルの権限を管理するための包括的な権限管理システムを提供します。モジュールレベルの権限は、DataWorks コンソールで操作を実行するための権限と、DataWorks サービスモジュールを使用するための権限に分類されます。 DataWorks では、RAM ポリシーを使用して、製品レベルの権限と DataWorks コンソールで操作を実行するための権限を管理できます。 DataWorks では、ロールベースのアクセス制御 (RBAC) を使用して、サービスモジュールに対する権限を管理することもできます。このトピックでは、DataWorks 権限管理システムについて説明します。
概要
次の図は、管理粒度に基づく DataWorks 権限管理システムの構造を示しています。
権限管理方法 | 承認方法 | DataWorks での有効範囲 | 参照 |
RAM ポリシーベースの承認 | ユーザー (RAM ユーザーまたは RAM ロール) にポリシーをアタッチして、ポリシーで定義されている権限をユーザーに付与します。
|
| |
RBAC | ユーザー (RAM ユーザーまたは RAM ロール) にロールを割り当てて、特定の DataWorks サービスモジュールで操作を実行する権限をユーザーに付与します。
|
|
このトピックでは、DataWorks 権限管理システムの基本情報について説明します。さまざまなシナリオにおけるユーザーの詳細な権限管理については、「RAM ユーザーの権限を管理するためのベストプラクティス」をご参照ください。
注意事項
デフォルトでは、[administratoraccess] ポリシーがアタッチされている Alibaba Cloud アカウントと RAM ユーザーは、より高い権限を持っています。
製品レベルの権限管理
DataWorks では、RAM ポリシーを使用して、製品レベルの権限を管理できます。組み込みポリシーまたはカスタムポリシーを RAM ユーザーにアタッチして、DataWorks 権限管理を実装できます。
権限管理方法 | 操作タイプ | 説明 | 参照 |
RAM ポリシーベースの承認 | 許可 | DataWorks によって提供される次のシステムポリシーを RAM ユーザーにアタッチできます。
| |
拒否 | カスタムポリシーを作成し、指定した RAM ユーザーにアタッチできます。権限管理の範囲:
|
モジュールレベルの権限管理: DataWorks コンソールで操作を実行するための権限
DataWorks では、RAM ポリシーを使用して、DataWorks コンソールで操作を実行するための権限を管理できます。
権限管理方法 | 管理対象エンティティ | 操作 | 参照 |
RAM ポリシーベースの承認 | ワークスペース | [ワークスペース] ページで、ワークスペースの作成、無効化、削除などのさまざまな操作を実行できます。 | |
専用リソースグループ | [リソースグループ] ページで、専用リソースグループの作成や専用リソースグループのネットワークの構成などのさまざまな操作を実行できます。 | ||
アラート | [アラート] ページで、アラート連絡先の情報の構成などのさまざまな操作を実行できます。 |
モジュールレベルの権限管理: DataWorks サービスモジュールを使用するための権限
DataWorks サービスモジュールは、使用範囲に基づいて、グローバルレベルとワークスペースレベルのサービスモジュールに分類されます。 DataWorks は、グローバルレベルおよびワークスペースレベルのサービスモジュールに対する権限を管理するために使用できる、グローバルレベルおよびワークスペースレベルのロールを提供します。詳細については、「メンバー権限管理」をご参照ください。 DataWorks では、RBACを使用して、サービスモジュールに対する権限を管理できます。
権限管理方法 | 管理対象エンティティ | 説明 | 参照 |
RBAC | ワークスペースレベルのサービスモジュール |
説明 DataWorks は、固定権限が付与された組み込みのワークスペースレベルのロールを提供します。 DataWorks では、カスタムのワークスペースレベルのロールを作成することもできます。 | |
グローバルレベルのサービスモジュール |
説明 DataWorks は、組み込みのグローバルレベルのロールを提供します。また、DataWorks では、カスタムのグローバルレベルのロールを作成して、特定のロールが特定のグローバルレベルのサービスモジュールに対するデータの読み取りおよび書き込み権限を持っているかどうかを制御することもできます。 |
付録 1: グローバルレベルのロールとワークスペースレベルのロールの区分
DataWorks は、組み込みのグローバルレベルおよびワークスペースレベルのロールを提供します。これらの組み込みロールをユーザーに割り当てて、特定のサービスモジュールに必要な権限をユーザーに付与できます。ビジネス要件に基づいて、カスタムのグローバルレベルまたはワークスペースレベルのロールを作成することもできます。次の図は、ユーザー、ロール、および権限の関係を示しています。
すべてのタイプのロールの中で、グローバルレベルのロールである [テナント管理者] ロールのみがすべてのサービスモジュールに対する権限を持っています。
[テナントメンバー] ロールは、Alibaba Cloud アカウントに属するすべての RAM ユーザーに自動的に割り当てられます。
カスタムグローバルレベルロールは、[テナントメンバー] ロールよりも高い権限優先度を持ちます。
たとえば、Alibaba Cloud アカウントに属する RAM ユーザー A には [テナントメンバー] ロールが自動的に割り当てられ、[データマップ] にアクセスできます。テナント管理者が [データマップ] に対する権限を持たないカスタムグローバルレベルロールを作成し、そのカスタムグローバルレベルロールを RAM ユーザー A に割り当てると、RAM ユーザー A はデータマップにアクセスできなくなります。
付録 2: ワークスペースレベルのサービスモジュールとグローバルレベルのサービスモジュールを区別する
サービスモジュールのページに移動した後に、ワークスペースを選択できるドロップダウンリストが表示される場合、そのモジュールはワークスペースレベルのサービスモジュールです。たとえば、[データ統合] と [datastudio] はワークスペースレベルのサービスモジュールです。
サービスモジュールのページに移動した後に、ワークスペースを選択できるドロップダウンリストが表示されない場合、そのモジュールはグローバルレベルのモジュールです。たとえば、[データセキュリティガード] と [データマップ] はグローバルレベルのサービスモジュールです。