當專案需要多人協作時,直接共用主帳號會帶來極大的安全風險。通過將 RAM 使用者添加為工作空間成員並授予不同角色,您可以實現許可權的精細化管控,從而保障資料安全和開發流程的規範性。
工作原理
DataWorks 的成員管理基於阿里雲的 RAM(存取控制) 和 RBAC(角色型存取控制) 模型。其核心機制如下:
成員資格:工作空間內的成員本質上是您主帳號下的 RAM 使用者。DataWorks 本身不建立或儲存使用者身份。
角色授權:您通過為成員授予角色(如管理員、開發、營運)來賦予其在工作空間內的操作許可權。
許可權映射:DataWorks 角色許可權最終會映射到底層計算引擎的許可權。例如,授予某成員 DataWorks 的開發角色,系統會自動為該成員在綁定的 MaxCompute 專案中賦予相應的讀寫權限。理解這一映射關係是正確配置許可權的關鍵。
DataWorks許可權體系更多資訊,請參見DataWorks許可權體系介紹。
許可權說明
當前操作者必須擁有該工作空間的空間管理員角色。
阿里雲主帳號預設擁有所有其建立的工作空間的空間管理員角色。
新增成員並管理角色
單擊DataWorks管理中心,選擇目標工作空間,單擊進入管理中心。
在左側導覽列切換至空間成員與角色頁簽,單擊右上方的新增成員,彈出新增成員對話方塊。
(可選)如需建立新的RAM使用者,可單擊對話方塊中的上方提示詞中的RAM控制台,進入存取控制建立RAM使用者。
勾選待添加帳號,將其移動至已添加帳號列表下,並勾選設定角色可進行授權。
重要被授予空間不同角色的RAM使用者,將擁有不同的DataWorks功能操作許可權。空間預設角色說明,詳情請參見空間級許可權控制產品能力。
授予空間管理員的RAM使用者具備該工作空間下的所有許可權。
工作空間新增成員完成後,您可在空間成員列表查看並管理成員資訊。在角色列可以對成員角色進行修改,在操作列移除不需要的成員(專案所有者不支援移除)。
應用於生產建議
最小許可權原則:堅決避免為普通開發、營運人員授予空間管理員角色。根據其職責,精確授予開發、營運、部署等角色。
定期審查:專案負責人應定期審查空間成員列表,及時移除已離職或調崗的成員,清理不再需要的許可權。
管理員權限風險:空間管理員擁有管理成員、修改空間配置等所有許可權,一旦誤操作或帳號泄露,將對整個專案造成嚴重影響。此角色應嚴格控制在 1-2 位核心負責人手中。
後續步驟
新增成員並授予相關角色後,您可進行以下操作,瞭解DataWorks的基本使用。
快速入門案例,請參加綜合:網站使用者Portrait analysis。
更多操作案例,請參見產品教程。
常見問題
Q:為什麼在“待添加帳號”列表中找不到我想添加的 RAM 使用者?
A:1、確認該 RAM 使用者是否已在阿里雲存取控制(RAM)中成功建立。2、在 DataWorks 的新增成員對話方塊中,單擊重新整理按鈕以擷取最新的RAM使用者列表。Q:為什麼無法移除某個空間成員?
A:您無法移除工作空間的專案所有者。專案所有者通常是建立該工作空間的阿里雲主帳號,擁有該空間的所有許可權。