为了更细粒度的管控权限实现最小化授权,DataWorks为您提供不同的空间级预设角色,也支持自定义空间级角色,针对实际业务制定权限管控粒度。您可以将阿里云账号(用户)添加为工作空间成员,通过关联角色授予其角色所拥有的权限。本文为您介绍空间级角色及成员管理操作。
背景信息
DataWorks的工作空间为您提供了成员及角色等身份,您可以针对不同用户的工作空间使用需求,授予其相应的功能权限角色。DataWorks提供预设工作空间级别角色,不同角色拥有的DataWorks相关功能权限请参见附录:预设角色权限列表(空间级)。DataWorks预设角色权限与MaxCompute引擎(开发项目)角色与的对应关系请参见权限详情:空间级角色。
当DataWorks的预设角色不能满足您的需求时,您还可以通过角色管理自定义针对空间级功能的DataWorks角色。
- DataWorks自定义空间级角色可控制某个该角色是否有用某个空间级别模块的权限,如定义一个角色无数据分析功能的权限,后续关联此角色的用户即无法访问操作数据分析功能模块。
- 如果您当前使用的是MaxCompute引擎,您也通过配置引擎权限映射使该角色拥有引擎资源的相关操作权限。
使用限制
- 仅DataWorks企业版工作空间才可以添加自定义角色,详情请参见DataWorks各版本详解。您可以参考DataWorks增值版本,升级DataWorks工作空间至企业版。
- 仅空间管理员角色和工作空间所有者,可以添加成员、修改成员角色、删除成员及已创建的自定义角色。
- 仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义的DataWorks新角色与MaxCompute引擎的权限映射关系。
step1:进入成员管理页面
- 进入工作空间配置页面。 您可以通过以下两种方式进入工作空间配置:
- 单击相应工作空间后的工作空间配置。在工作空间配置对话框中,单击更多设置,进入工作空间配置页面。
- 单击相应工作空间后的进入数据开发。在数据开发页面,单击右上角的工作空间管理
图标,进入工作空间配置页面。
- 单击相应工作空间后的工作空间配置。在工作空间配置对话框中,单击更多设置,进入工作空间配置页面。
step2:(可选)新建及管理自定义空间级角色
工作空间预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过角色管理来自定义空间级角色,指定此角色是否有用某个空间级别模块的权限。
- 为自定义角色配置DataWorks不同空间级别模块的权限。
- 无权限:表示该角色无相应模块的查看权限。
- 只读:表示该角色只能查看相应模块的数据信息,不能修改模块数据。
- 读写:表示该角色可以修改相应模块的数据信息。
- 单击配置引擎权限映射下的添加,为自定义的DataWorks新角色配置与其他引擎权限的映射关系,使该角色拥有对应引擎权限。说明
- 目前仅支持配置与MaxCompute引擎的权限映射。
- 当前仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义角色与MaxCompute引擎的权限映射关系。
例如,授权自定义角色(test)访问目标MaxCompute项目时,使用MaxCompute的admin角色。各引擎与DataWorks权限的对应关系请参见附录:空间级预设角色与MaxCompute引擎权限的映射关系。
step3:添加及管理工作空间成员
- 在添加成员对话框中的待添加账号模块,勾选需要添加的成员账号。
在成员管理页签,您还可以执行如下成员管理操作:
- 查看成员信息。
您可以查看当前DataWorks项目空间下,所有成员的账号、角色等信息,也可以根据成员名称、云账号、以及某类别的角色进行筛选,查看目标条件的成员信息及相应角色的成员数量。方便您对成员及相应角色进行集中管控。
- 删除成员。
您可以在成员管理页面,单击目标成员操作列的删除,删除单个成员。如果DataWorks工作空间中存在多个待删除的成员,则您可以勾选多个成员,批量删除。
附录:查看用户权限
您可以在MaxCompute_SQL任务中,执行如下语句,查询自己的权限信息。
show grants --查看当前用户自己的访问权限。
show grants for <username> --查看指定用户的访问权限,仅由空间管理员才有执行权限。更多查看权限的命令请参见权限查看。