DataWorks支持以工作空间为管控粒度,通过对用户授予不同角色实现空间内各功能点的权限控制。包括空间预设角色及空间级自定义角色,其中预设角色拥有固定的功能点权限,空间级自定义角色可自行管控空间级模块的读写权限。本文为您介绍空间成员权限管理的基本操作。
背景信息
| 序号 | 内容 | 相关文档 |
|---|---|---|
| 1 | DataWorks工作空间为多角色协同开发的基本单元,所有开发工作都将在具体的工作空间内开展,若您需要RAM用户(子账号)协同开发,您需要将RAM用户加入工作空间并按照职能为该用户分配空间角色,DataWorks预设部分角色权限。例如,被授予开发角色的用户可进入工作空间进行数据开发,但无法将执行发布操作。 | 附录:预设角色权限列表(空间级) |
| 2 | 当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义空间级角色并授予RAM用户该角色的方式,控制RAM用户是否有某个空间级模块的权限。例如,控制某个工作空间成员无法访问数据服务模块。 | 空间级权限控制产品能力 |
| 3 | DataWorks空间级权限控制基于RBAC(Role-based access control)权限模型实现,将RAM用户添加为某个DataWorks空间级角色后,该用户即可拥有此角色所包含的DataWorks相关功能模块的使用权限。 | DataWorks权限体系功能概述 |
使用限制
- 仅DataWorks企业版工作空间才可以添加自定义角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。
- 仅空间管理员角色和工作空间所有者,可以添加成员、修改成员角色、删除成员及已创建的自定义角色。
- 仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义的DataWorks新角色与MaxCompute引擎的权限映射关系。
- 预设角色拥有的权限点不支持修改。
空间级权限控制产品能力
DataWorks的工作空间为您提供了成员及角色等身份,您可以针对不同用户的工作空间使用需求,授予其相应的功能权限角色。DataWorks提供预设工作空间级别角色,预设角色拥有固定的功能点权限,当DataWorks的预设角色不能满足您的需求时,您还可以通过角色管理自定义针空间级角色。
空间级预设角色
DataWorks产品提供的空间级预设角色及各预设角色拥有的空间级模块功能权限点如下表所示。
说明 工作空间所有者为阿里云主账号,RAM用户(子账号)仅可代主账号创建工作空间。当前不支持给其他用户授权为项目所有者。各预设角色的对DataWorks各个功能模块的权限详情请参见附录:预设角色权限列表(空间级)。
| 角色 | 描述 |
|---|---|
| 项目所有者 | 工作空间所有者拥有工作空间的所有权限,正常为阿里云主账号。例如,可以根据需求给RAM用户授予相应角色、删除本工作空间非项目所有者的成员等。 |
| 空间管理员 | 该角色拥有除项目所有者以外的空间最大权限,还可以进行添加/移出工作空间成员并授予角色等操作。 |
| 数据分析师 | 仅具有数据分析模块的操作权限。 |
| 开发 | 该角色负责数据开发和维护工作,即在数据开发模块进行节点的开发与维护。 说明
|
| 运维 | 该角色负责生产任务发布与运维,即在任务发布界面进行发布任务至生产环境的操作,在运维中心页面管理全部任务的运行情况并进行相应处理。 |
| 部署 | 该角色仅在多工作空间模式时审核任务代码并决定是否提交运维。 |
| 访客 | 该角色仅有只读权限,可以查看数据开发页面的业务流程设计和代码内容。 |
| 安全管理员 | 该角色仅有数据保护伞模块的操作权限,无其它模块权限。 |
| 模型设计师 | 该角色可以在智能建模查看模型,进行数仓规划、数据标准、维度建模和数据指标等内容的编辑,但是不能发布模型。 |
空间级自定义角色
DataWorks空间级自定义角色可控制自定义的角色是否有用某个空间级功能模块的权限,DataWorks支持如下图所示的空间级模块的读写权限控制。如果您当前使用的是MaxCompute引擎,您还可以通过配置引擎权限映射使该角色拥有引擎资源的相关操作权限。新建自定义角色的操作请参见新建自定义空间级角色。
- 无权限:表示该角色无相应模块的查看权限。
- 只读:表示该角色只能查看相应模块的数据信息,不能修改模块数据。
- 读写:表示该角色可以修改相应模块的数据信息。
添加空间成员并管理成员角色权限
您可按职能授予RAM用户(子账号)空间级预设角色来控制其是否拥有某功能点权限,由于RAM用户加入空间成为空间成员后默认可访问空间级模块,若您不希望某用户访问某空间模块,您可通过授予该用户空间级自定义角色禁止其访问空间级指定模块。
step1:进入成员管理页面
- 进入管理中心。
- 在工作空间页面,单击空间成员。
step2:添加并管理工作空间成员
- 在空间成员页签右上角单击添加成员。
- 在添加成员对话框中的待添加账号模块,勾选需要添加的成员账号。
操作 说明 选择组织成员 待添加账号列表为您展示当前阿里云主账号下所有的RAM用户,您可单击>图标,将需要添加的RAM用户移动至当前工作空间成为空间成员以便协同开发。 说明 如果列表中未找到目标RAM用户,可单击界面上方的刷新按钮进行刷新。批量设置角色 您可以在此处勾选RAM用户需要关联的角色,关联后此用户即拥有角色对应的权限。您可以选择授予成员空间级别预设角色,或者自定义角色。在授予DataWorks空间级自定义角色前,您需要先参考下文(新建自定义空间级角色)创建自定义角色后,才可以在此处为RAM用户设置角色。 说明- 如果您当前使用的是MaxCompute引擎时,MaxCompute引擎默认预设了部分Role,并且与DataWorks空间级预设角色存在映射关系。DataWorks通过空间级预设角色与MaxCompute开发环境引擎Role映射关系,来让被授予该空间预设角色的RAM用户拥有该角色映射的开发引擎Role权限,但默认无生产权限。
- 关于MaxCompute引擎添加成员的底层授权过程,详情请参见MaxCompute数据权限控制详情。
- 关于DataWorks空间预设角色与MaxCompute引擎Role的映射关系,详情请参见DataWorks预设角色与MaxCompute引擎权限的映射关系。
- 当使用其他引擎时,DataWorks空间成员获得引擎权限与被授予空间成员的操作无关。
- 如果您当前使用的是MaxCompute引擎时,MaxCompute引擎默认预设了部分Role,并且与DataWorks空间级预设角色存在映射关系。DataWorks通过空间级预设角色与MaxCompute开发环境引擎Role映射关系,来让被授予该空间预设角色的RAM用户拥有该角色映射的开发引擎Role权限,但默认无生产权限。
- 单击确定,完成添加工作空间成员。完成后,您可以在空间成员页签中,您可以查看当前DataWorks项目空间下,所有成员的账号、角色等信息,您可以通过筛选条件定位目标空间成员,并在角色列为该成员授予或删除某个空间级预设角色或空间级自定义角色。还支持您单击操作列的移除将目标用户移出当前工作空间。
(可选)新建自定义空间级角色
工作空间预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过空间角色页面自定义针对空间级功能的DataWorks角色。
- 在空间角色页签单击添加自定义角色。
- 自定义角色名称,并为自定义角色配置DataWorks不同空间级别模块的权限。
- 无权限:表示该角色无相应模块的查看权限。
- 只读:表示该角色只能查看相应模块的数据信息,不能修改模块数据。
- 读写:表示该角色可以修改相应模块的数据信息。
- 单击配置引擎权限映射下的添加,为自定义的DataWorks新角色配置与其他引擎权限的映射关系,使该角色拥有对应引擎权限。若您当前使用的为MaxCompute引擎,您也可以在创建DataWorks空间级自定义角色的同时,为该自定义角色映射MaxCompute引擎项目中的Role,让被授予该自定义角色的成员可同时拥有该MaxCompute引擎Role中所拥有的权限。引擎与DataWorks权限的对应关系请参见附录:空间级预设角色与MaxCompute引擎权限的映射关系。
- 单击开始配置。当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联此角色。同时,您可以在角色管理页签编辑或删除自定义角色。