为了更细粒度的管控权限实现最小化授权,DataWorks为您提供不同的空间级预设角色,也支持自定义空间级角色,针对实际业务制定权限管控粒度。您可以将阿里云账号(用户)添加为工作空间成员,通过关联角色授予其角色所拥有的权限。本文为您介绍空间级角色及成员管理操作。

背景信息

DataWorks的工作空间为您提供了成员及角色等身份,您可以针对不同用户的工作空间使用需求,授予其相应的功能权限角色。DataWorks提供预设工作空间级别角色,不同角色拥有的DataWorks相关功能权限请参见附录:预设角色权限列表(空间级)。DataWorks预设角色权限与MaxCompute引擎(开发项目)角色与的对应关系请参见权限详情:空间级角色

当DataWorks的预设角色不能满足您的需求时,您还可以通过角色管理自定义针对空间级功能的DataWorks角色。空间级自定义
  • DataWorks自定义空间级角色可控制某个该角色是否有用某个空间级别模块的权限,如定义一个角色无数据分析功能的权限,后续关联此角色的用户即无法访问操作数据分析功能模块。
  • 如果您当前使用的是MaxCompute引擎,您也通过配置引擎权限映射使该角色拥有引擎资源的相关操作权限。
新增自定义空间级角色的操作详情请参见下文的step2:(可选)新建及管理自定义空间级角色

使用限制

  • 仅DataWorks企业版工作空间才可以添加自定义角色,详情请参见DataWorks各版本详解。您可以参考DataWorks增值版本,升级DataWorks工作空间至企业版。
  • 空间管理员角色和工作空间所有者,可以添加成员、修改成员角色、删除成员及已创建的自定义角色
  • 仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义的DataWorks新角色与MaxCompute引擎的权限映射关系。

step1:进入成员管理页面

  1. 登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 进入工作空间配置页面。
    您可以通过以下两种方式进入工作空间配置
    • 单击相应工作空间后的工作空间配置。在工作空间配置对话框中,单击更多设置,进入工作空间配置页面。更多设置
    • 单击相应工作空间后的进入数据开发。在数据开发页面,单击右上角的工作空间管理工作空间管理图标,进入工作空间配置页面。工作空间配置
  4. 工作空间配置页面左侧导航栏,单击成员管理,进入成员管理页面。

step2:(可选)新建及管理自定义空间级角色

工作空间预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过角色管理来自定义空间级角色,指定此角色是否有用某个空间级别模块的权限。

  1. 参考step1:进入成员管理页面进入成员管理页面后,单击角色管理页签。
  2. 单击角色管理页签右上角的添加自定义角色
  3. 添加自定义角色对话框输入自定义的DataWorks角色名称。例如:test。
  4. 为自定义角色配置DataWorks不同空间级别模块的权限。
    DataWorks权限
    • 无权限:表示该角色无相应模块的查看权限。
    • 只读:表示该角色只能查看相应模块的数据信息,不能修改模块数据。
    • 读写:表示该角色可以修改相应模块的数据信息。
  5. 单击配置引擎权限映射下的添加,为自定义的DataWorks新角色配置与其他引擎权限的映射关系,使该角色拥有对应引擎权限。
    说明
    • 目前仅支持配置与MaxCompute引擎的权限映射。
    • 当前仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义角色与MaxCompute引擎的权限映射关系。
    配置引擎权限映射

    例如,授权自定义角色(test)访问目标MaxCompute项目时,使用MaxCompute的admin角色。各引擎与DataWorks权限的对应关系请参见附录:空间级预设角色与MaxCompute引擎权限的映射关系

  6. 单击开始配置
    当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联此角色。
您可以在角色管理页签,查看DataWorks工作空间已配置的预设角色自定义角色,或编辑、删除自定义角色预设角色的权限信息请参见附录:预设角色权限列表(空间级)查看角色

step3:添加及管理工作空间成员

  1. 参考step1:进入成员管理页面进入成员管理页面后,在成员管理页签右上角单击添加成员
  2. 添加成员对话框中的待添加账号模块,勾选需要添加的成员账号。
    添加角色
  3. 单击>图标,将需要添加的RAM用户移动至已添加账号中。
  4. 批量设置角色处勾选需要关联的角色,关联后此账号即拥有角色对应的权限。
  5. 单击确定,完成添加工作空间成员。
成员管理页签,您还可以执行如下成员管理操作:
  • 查看成员信息。
    您可以查看当前DataWorks项目空间下,所有成员的账号、角色等信息,也可以根据成员名称、云账号、以及某类别的角色进行筛选,查看目标条件的成员信息及相应角色的成员数量。方便您对成员及相应角色进行集中管控。查看成员信息
  • 删除成员。
    您可以在成员管理页面,单击目标成员操作列的删除,删除单个成员。如果DataWorks工作空间中存在多个待删除的成员,则您可以勾选多个成员,批量删除。删除成员

附录:查看用户权限

您可以在MaxCompute_SQL任务中,执行如下语句,查询自己的权限信息。
show grants --查看当前用户自己的访问权限。
show grants for <username> --查看指定用户的访问权限,仅由空间管理员才有执行权限。

更多查看权限的命令请参见权限查看