DataWorks產品級許可權控制和管理主控台許可權控制都是通過阿里雲RAM Policy實現,即為使用者(RAM使用者或Role)綁定某個權限原則,使其獲得權限原則中定義的存取權限。本文為您詳細介紹產品及控制台許可權管控支援情況、主帳號如何為使用者授予DataWorks管控的相關權限原則。
產品級大範圍許可權管控:系統內建策略+自訂策略
DataWorks預設僅阿里雲主帳號擁有產品級管控許可權,如果您需要某個RAM使用者代為管理時,可為RAM使用者授予以下系統權限原則,RAM使用者就會擁有阿里雲主帳號的所有操作許可權。
權限類別 | 管控範圍 | 許可權名稱 | 描述 | 操作參考文檔 |
允許RAM使用者執行的操作(系統策略) | 管理DataWorks服務的許可權 | AliyunDataWorksFullAccess | 設定該許可權後,RAM使用者將擁有DataWorks較大的許可權,可代理主帳號管理產品相關內部功能(不包括購買相關功能)。 | 給RAM使用者授權的操作步驟請參見為RAM使用者授權。 |
購買資源的許可權 | AliyunBSSOrderAccess | 授權後,RAM使用者可在費用中心(BSS)查看、支付及取消訂單。 授予該許可權後,RAM使用者可以在管理主控台進行購買資源與續約服務等操作。 | ||
禁止RAM使用者執行的操作(自訂策略) | 禁止RAM使用者操作DataWorks(細粒度) | 自訂 | 禁止某使用者進入管理主控台、進入DataWorks各模組介面、調用OpenAPI。 | 先參考產品級管控權限原則定義權限原則內容。然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的建立自訂策略(可選)。 |
禁止RAM使用者調用OpenAPI(細粒度) | DataWorks中預設具有DataWorks某模組許可權的使用者可調用相應模組對應的OpenAPI。如果您需要禁止某使用者調用所有OpenAPI,則可授予使用者該許可權。 | |||
禁止RAM使用者進入DataWorks的各模組介面(細粒度) | DataWorks中預設阿里雲主帳號下所有RAM使用者均為DataWorks的租戶成員,允許訪問全域模組,並且可訪問已加入工作空間的空間模組。 您可根據需要禁止某使用者進入DataWorks的所有模組介面。 |
控制台細分許可權管控:自訂策略
DataWorks支援對以下實體物件的相關操作實現細粒度許可權控制:
對象 | 相關操作 | 操作參考文檔 |
工作空間 |
| 進行管控台細分許可權的授權時,您需要首先參考控制台實體物件級許可權管控策略來自訂權限原則,然後給RAM使用者綁定自訂的權限原則進行授權操作,操作步驟請參見下文的為RAM使用者授權。 |
資源群組 |
| |
警示資訊 |
|
為RAM使用者授權
在左側導覽列,選擇。
在添加許可權面板,為RAM使用者添加許可權。
支援授權系統策略與自訂策略,授予自訂策略的時候,您需要先建立自訂策略後才可以在此處為RAM使用者授權。可授權的系統策略和自訂策略請參見產品級大範圍許可權管控:系統內建策略+自訂策略。
說明參數配置詳情請參見管理RAM使用者的許可權。
建立自訂策略(可選)
如果您希望通過細分的RAM Policy來做細粒度的許可權管控,您需要根據實際需要先完成創新權限原則,如果您使用內建策略進行大範圍的授權則無需進行此步驟。
您可使用阿里雲主帳號在訪問控制建立自訂權限原則,操作詳情請參見建立自訂權限原則。
自訂產品級管控權限原則,可根據產品級管控權限原則定義權限原則內容。
自訂控制台實體物件級權限原則,可根據下文說明進行配置:在 RAM 存取控制台左側導覽列選擇許可權管理 > 權限原則,單擊建立權限原則並選擇指令碼編輯 Tab。策略 JSON 配置格式為
{"Version":"1","Statement":[{"Effect":"Allow","Action":"dataworks:操作名稱","Resource":"acs:dataworks:$regionid:$accountid:資源類型/*"}]},其中 Action 和 Resource 的取值分別對應許可權管控策略表中對應管控項的 Action 列與 Resource 列。策略配置項
說明
Action
根據控制台實體物件級許可權管控策略內容中對應管控項的Action配置自訂策略中的Action。
Resource
根據控制台實體物件級許可權管控策略內容中對應管控項的Resource配置自訂策略中的Resource。
說明Resource說明:
許可權管控策略表Resource列的取值(格式如
acs:dataworks:$regionid:$accountid:資源類型/*)中,有兩類內容需要您按實際情況替換:以
$開頭的預留位置:需替換為真實ID值。例如,$regionid替換為真實的地區ID,$accountid替換為阿里雲主帳號的UID。萬用字元
*:表示匹配該層級下的所有資源。您可將其替換為具體值,以縮小許可權生效範圍。例如,將workspace/*替換為workspace/具體工作空間ID(如workspace/12345),則該策略僅對指定的工作空間生效。