DataWorks では、ワークスペースメンバーに異なるロールを割り当てることで、ワークスペース内のワークスペースレベルのサービスに対して異なる権限を付与できます。メンバーに割り当てることができるロールには、組み込みのワークスペースレベルのロールとカスタムワークスペースレベルのロールが含まれます。組み込みのワークスペースレベルのロールには、特定のワークスペースレベルのサービスに対する固定権限が付与されます。カスタムワークスペースレベルのロールを使用すると、ワークスペースレベルのサービスに対するメンバーの読み取りおよび書き込み権限を制御できます。このトピックでは、ワークスペースレベルのサービスに対する権限を管理するために使用できるワークスペースレベルのロールと、ワークスペースレベルのサービスに対するワークスペースメンバーの権限を管理するために行うことができる基本的な操作について説明します。
背景情報
DataWorks では、ワークスペース内のメンバー数に制限はありません。RAM ユーザーをワークスペースにメンバーとして追加するときに、RAM ユーザーの権限設定を構成して、異なるワークスペースレベルのサービスに対する権限を RAM ユーザーに付与できます。このようにして、RAM ユーザーがワークスペースにメンバーとして追加されると、メンバーは DataWorks でのデータ開発に参加できます。
番号 | 説明 | 参照 |
1 | DataWorks ワークスペースは、共同データ開発のために異なるロールを使用できる基本単位です。すべてのデータ開発操作は、特定のワークスペース内で行われます。RAM ユーザーに共同でデータ開発操作を実行させたい場合は、RAM ユーザーをワークスペースにメンバーとして追加し、ビジネス要件に基づいてメンバーにロールを割り当てる必要があります。 DataWorks によって提供される組み込みのワークスペースレベルのロールをメンバーに割り当てることができます。たとえば、開発ロールをメンバーに割り当てると、メンバーはワークスペース内でデータ開発操作を実行できますが、デプロイ操作は実行できません。 | |
2 | 組み込みのワークスペースレベルのロールがビジネス要件を満たしていない場合は、カスタムワークスペースレベルのロールを作成し、そのロールを RAM ユーザーに割り当てることができます。このようにして、特定のワークスペースレベルのサービスに対する RAM ユーザーの権限を制御できます。たとえば、カスタムワークスペースレベルのロールを作成し、そのロールを RAM ユーザーに割り当てて、RAM ユーザーの DataService Studio へのアクセス権限を拒否することができます。 | |
3 | DataWorks のワークスペースレベルのサービスに対する権限管理は、ロールベースのアクセス制御 (RBAC) モデルに基づいて行われます。RAM ユーザーをワークスペースにメンバーとして追加し、ワークスペースレベルのロールをメンバーに割り当てると、メンバーには関連するワークスペースレベルのサービスに対するロールの権限が付与されます。 |
制限
DataWorks Enterprise Edition のワークスペースのみがカスタムロールをサポートしています。DataWorks エディションの詳細については、「DataWorks エディション間の違い」をご参照ください。ワークスペースが DataWorks Enterprise Edition でない場合は、使用している DataWorks サービスをこのエディションにアップグレードできます。DataWorks Advanced Edition の課金については、「DataWorks エディションの課金」をご参照ください。
説明DataWorks サービスのエディションをアップグレードするときにサブスクリプション期間を調整する場合は、現在のエディションのサブスクリプションを解除してから、使用するエディションを購入することをお勧めします。DataWorks サービスのエディションを直接アップグレードする場合は、現在の請求サイクルの残りの期間の差額を支払う必要があります。DataWorks エディションのサブスクリプションを解除する方法については、「一般的なリファレンス: DataWorks の機能またはリソースの使用を停止する」トピックの「DataWorks サブスクリプションの機能またはリソースのサブスクリプションを解除する」セクションをご参照ください。
[ワークスペース管理者] ロールと [ワークスペース所有者] ロールのみを使用して、メンバーの追加、メンバーに割り当てられているロールの変更、[メンバー] の削除、[カスタムロール] の削除を行うことができます。
MaxCompute プロジェクトまたは Alibaba Cloud アカウントの管理者ロールまたは Super_Administrator ロールが割り当てられている RAM ユーザーのみを使用して、DataWorks カスタムワークスペースレベルのロールと MaxCompute プロジェクトのロール間のマッピングを構成できます。
組み込みロールの権限を変更することはできません。
ワークスペースレベルのロール
DataWorks は、ワークスペースレベルでメンバーやロールなどのさまざまな ID を提供します。ワークスペースに対するユーザーの要件に基づいて、ユーザーに異なるロールを割り当てることができます。DataWorks は、特定のワークスペースレベルのサービスに対する固定権限が付与されている組み込みのワークスペースレベルのロールを提供します。組み込みのワークスペースレベルのロールがビジネス要件を満たしていない場合は、DataWorks コンソールの [ワークスペース] ページの [ワークスペースロール] タブでカスタムワークスペースレベルのロールを作成できます。
組み込みのワークスペースレベルのロール
デフォルトでは、DataWorks によって提供される組み込みのワークスペースレベルのロールには、すべてのワークスペースレベルのサービスに対する読み取り権限があります。ワークスペースレベルのサービスに対するさまざまな組み込みのワークスペースレベルのロールの管理および操作権限はさまざまです。次の表に、組み込みのワークスペースレベルのロールと、ワークスペースレベルのサービスに対する各組み込みのワークスペースレベルのロールの権限を示します。
ワークスペースの所有者は、ワークスペースの作成に使用された Alibaba Cloud アカウントです。ワークスペースが RAM ユーザーによって作成された場合、ワークスペースの所有者は、RAM ユーザーが属する Alibaba Cloud アカウントです。[ワークスペース所有者] ロールを RAM ユーザーに割り当てることはできません。ワークスペースレベルのサービスに対する組み込みのワークスペースレベルのロールの権限の詳細については、「組み込みのワークスペースレベルのロールの権限」をご参照ください。
ロール | 説明 |
[ワークスペース所有者] | このロールには、ワークスペースに対するすべての権限があります。ワークスペースの所有者は Alibaba Cloud アカウントです。たとえば、ワークスペース所有者ロールを使用して、RAM ユーザーにロールを割り当てたり、ワークスペースの所有者ではないメンバーをワークスペースから削除したりできます。 |
[ワークスペース管理者] | このロールには、ワークスペース管理者ロールの権限に次ぐ権限があります。ワークスペース管理者ロールを使用して、ワークスペースにユーザーをメンバーとして追加したり、ワークスペースからメンバーを削除したり、メンバーにロールを割り当てたりするなどの操作を実行することもできます。 |
[データアナリスト] | このロールには、DataAnalysis に対する権限のみがあります。 |
[開発] | このロールには、ワークスペースの DataStudio ページでデータ開発およびメンテナンス操作を実行するための権限があります。 説明
|
[O&M] | このロールには、デプロイタスクの作成 ページでタスクを本番環境にデプロイし、オペレーションセンターでワークスペース内のすべてのタスクに対して O&M 操作を実行するための権限があります。 |
[デプロイ] | このロールには、標準モードのワークスペースでタスクのコードを確認し、タスクをオペレーションセンターにコミットするかどうかを決定するための権限があります。 |
[ビジター] | このロールには、ワークスペースの DataStudio ページのワークフローとコードに対する読み取り専用権限があります。 |
[セキュリティ管理者] | このロールには、データセキュリティガード に対する権限のみがあります。 |
[モデル設計者] | このロールには、データモデリングの概要 でモデルを表示し、データウェアハウス計画、データ標準、次元モデリング、データメトリックのパラメーター構成を変更するための権限があります。このロールには、モデルを公開するための権限はありません。 |
[データガバナンス管理者] | このロールには、データガバナンスセンター で、このロールが属するワークスペースのデータガバナンスコンテンツを表示および管理するための権限があります。 説明
|
カスタムワークスペースレベルのロール
DataWorks コンソールでカスタムワークスペースレベルのロールを作成するときに、ワークスペースレベルのサービスに対するロールの権限を制御できます。次の図は、DataWorks でサポートされているワークスペースレベルのサービスの権限設定を示しています。ワークスペースで MaxCompute コンピューティングエンジンを使用する場合は、[カスタムロールと Maxcompute コンピューティングエンジンのロール間のマッピングを構成] することができます。このようにして、カスタムロールには MaxCompute コンピューティングエンジンのリソースに対する権限が付与されます。カスタムワークスペースレベルのロールを作成する方法については、このセクション の図に示されている操作をご参照ください。
[権限なし]: ロールには、関連するサービスに対する権限がありません。
[読み取り専用]: ロールは、関連するサービスのデータ情報のみを表示できます。
[読み取りと書き込み]: ロールは、関連するサービスのデータを変更できます。
RAM ユーザーをワークスペースにメンバーとして追加し、メンバーにロールを割り当てる
RAM ユーザーをワークスペースにメンバーとして追加した後、ビジネス要件に基づいて、組み込みのワークスペースレベルのロールをメンバーに割り当てることができます。デフォルトでは、RAM ユーザーがワークスペースにメンバーとして追加されると、メンバーはすべてのワークスペースレベルのサービスにアクセスできます。メンバーが特定のワークスペースレベルのサービスにアクセスできないようにするには、サービスへのアクセス権限が拒否されたカスタムワークスペースレベルのロールを作成し、そのロールをメンバーに割り当てます。このようにして、メンバーはワークスペースレベルのサービスにアクセスできません。
手順 1: [ワークスペースメンバー] タブに移動する
左側のナビゲーションペインで、[ワークスペースメンバーとロール] をクリックします。[ワークスペース] ページで、[ワークスペースメンバー] タブをクリックします。
手順 2: RAM ユーザーをワークスペースにメンバーとして追加し、ワークスペース内のメンバーを管理する
[ワークスペースメンバー] タブの右上隅にある [メンバーの追加] をクリックします。
[メンバーの追加] ダイアログボックスで、[使用可能なアカウント] リストから 1 つ以上の RAM ユーザーを選択します。
操作
説明
ワークスペースにメンバーとして追加する RAM ユーザーを選択する
[使用可能なアカウント] リストには、現在の Alibaba Cloud アカウントに属するすべての RAM ユーザーが表示されます。リストからワークスペースにメンバーとして追加する 1 つ以上の RAM ユーザーを選択し、[>] アイコンをクリックして、選択した RAM ユーザーを [選択済みアカウント] リストに移動できます。このようにして、RAM ユーザーはワークスペースのメンバーになり、データ開発に参加できます。
説明ワークスペースに追加する RAM ユーザーが [使用可能なアカウント] リストに表示されない場合は、ダイアログボックスの上部に表示されるプロンプトメッセージの [更新] をクリックして、[使用可能なアカウント] リストを更新できます。
一度に複数のロールを RAM ユーザーに割り当てる
選択した RAM ユーザーに割り当てるロールを選択し、[確認] をクリックできます。このようにして、選択したロールが RAM ユーザーに同時に割り当てられ、RAM ユーザーにはロールの権限が付与されます。組み込みのワークスペースレベルのロールまたはカスタムワークスペースレベルのロールを RAM ユーザーに割り当てることができます。カスタムワークスペースレベルのロールを RAM ユーザーに割り当てる前に、次のサブセクション に記載されている操作を参照して、カスタムワークスペースレベルのロールを作成する必要があります。
説明MaxCompute は、MaxCompute コンピューティングエンジンの組み込みロールを提供します。DataWorks の組み込みのワークスペースレベルのロールと、開発環境の MaxCompute コンピューティングエンジンインスタンスの組み込みロールの間にはマッピングが存在します。このようにして、RAM ユーザーに DataWorks の組み込みのワークスペースレベルのロールが割り当てられると、RAM ユーザーには、開発環境の MaxCompute コンピューティングエンジンインスタンスのマッピングされた組み込みロールの権限が自動的に付与されます。ただし、デフォルトでは、RAM ユーザーには、本番環境の MaxCompute コンピューティングエンジンインスタンスのマッピングされた組み込みロールの権限はありません。
ワークスペースのメンバーに MaxCompute コンピューティングエンジンインスタンスに対する権限を付与する方法については、「MaxCompute コンピューティングエンジンのデータに対する権限の管理」をご参照ください。
DataWorks の組み込みのワークスペースレベルのロールと MaxCompute の組み込みロール間のマッピングについては、「付録: DataWorks の組み込みのワークスペースレベルのロールと MaxCompute のロール間のマッピング」をご参照ください。
ワークスペースメンバーとしてワークスペースで別のタイプのコンピューティングエンジンを使用する場合、ワークスペースレベルのロールをメンバーに割り当てることによって、コンピューティングエンジンに対する権限をメンバーに付与することはできません。
[確認] をクリックします。
次に、[ワークスペースメンバー] タブで、ワークスペース内のすべてのメンバー、各メンバーのアカウントとロールなどの情報を表示できます。また、フィルター条件を指定して目的のメンバーを検索し、[ロール] 列でメンバーに割り当てられているワークスペースレベルのロールを変更することもできます。さらに、メンバーの [アクション] 列の [削除] をクリックして、ワークスペースからメンバーを削除できます。
(オプション) カスタムワークスペースレベルのロールを作成する
組み込みのワークスペースレベルのロールの権限を変更することはできません。組み込みのワークスペースレベルのロールが権限管理のビジネス要件を満たしていない場合は、[ワークスペースロール] タブでカスタムワークスペースレベルのロールを作成できます。
[ワークスペース] ページで、[ワークスペースロール] タブをクリックします。[ワークスペースロール] タブで、[カスタムロールの作成] をクリックします。
[カスタムロールの作成] ダイアログボックスで、ロールの名前を指定し、ロールの各ワークスペースレベルのサービスに対する権限設定を構成します。
[権限なし]: ロールには、関連するサービスに対する権限がありません。
[読み取り専用]: ロールは、関連するサービスのデータ情報のみを表示できます。
[読み取りと書き込み]: ロールは、関連するサービスのデータを変更できます。
[dataworks カスタムロールとコンピューティングエンジンのロール間のマッピングの構成] セクションで、[追加] をクリックして、カスタムワークスペースレベルのロールとコンピューティングエンジンのロール間のマッピングを構成します。
ワークスペースで MaxCompute コンピューティングエンジンを使用する場合は、カスタムワークスペースレベルのロールを作成するときに、MaxCompute コンピューティングエンジンの組み込みロールを指定し、カスタムワークスペースレベルのロールと MaxCompute コンピューティングエンジンのロール間のマッピングを構成できます。このようにして、カスタムワークスペースレベルのロールがワークスペースのメンバーに割り当てられると、メンバーには MaxCompute コンピューティングエンジンの組み込みロールの権限が自動的に付与されます。さまざまなタイプのコンピューティングエンジンのロールと DataWorks のロール間のマッピングについては、「付録: DataWorks の組み込みのワークスペースレベルのロールと MaxCompute のロール間のマッピング」をご参照ください。
[作成] をクリックします。
[作成済み] メッセージが表示されると、カスタムワークスペースレベルのロールが作成されます。ワークスペースにユーザーをメンバーとして追加するときに、このロールをメンバーに割り当てることができます。また、[ワークスペースロール] タブで [カスタムワークスペースレベルのロール] を変更または削除できます。