全部产品
Search
文档中心

大数据开发治理平台 DataWorks:DataWorks权限体系功能概述

更新时间:Dec 13, 2023

DataWorks提供了完善的权限管控机制,支持在产品级与模块级对权限进行管控,其中,模块级权限按照管控对象又分为DataWorks控制台和DataWorks功能模块权限管控,您可以通过RAM Policy权限体系管理产品级及DataWorks控制台的权限;通过RBAC权限模型管理DataWorks功能模块的使用权限,本文为您详细介绍DataWorks的权限体系。

权限管控体系介绍

DataWorks权限体系按照管控粒度划分如下:

权限管控体系

策略类型

授权方式

作用于DataWorks范围

相关文档

RAM Policy权限体系

通过为用户(RAM用户或Role)绑定某个权限策略,使其获得权限策略中定义的访问权限。

  • 用户:包含RAM用户、RAM Role两类。

  • 权限策略:包含内置系统策略及您自定义的策略。

  • 产品级:管理DataWorks、购买资源、开通DataWorks服务(开通标准版、专业版、企业版服务等)。

  • 模块级:DataWorks管控台(管理工作空间,管理资源组,管理报警联系人)。

RAM Policy权限体系

RBAC权限模型

通过为某用户(RAM用户或Role)添加某个角色,这个用户即可拥有此角色包含的DataWorks相关功能模块的使用权限。

  • 用户:包含RAM用户、RAM Role两类。

  • 角色:包含DataWorks空间级角色、DataWorks全局级角色两类。

  • 权限:包含DataWorks空间级别功能模块访问和使用权限、DataWorks全局级别功能模块访问和管控权限。

  • DataWorks全局级模块

  • DataWorks空间级模块

说明

本文为您介绍DataWorks权限体系基本情况,您还可以参考最佳实践:为RAM用户授权指引文档,根据各细分场景进行用户权限控制。

注意事项

阿里云主账号和拥有AdministratorAccess权限的RAM用户默认拥有较大权限。

产品级权限管控

DataWorks产品级权限策略控制通过RAM Policy权限策略实现,您可以为RAM用户授予系统内置的策略,或您自定义的RAM权限策略,实现DataWorks管理与操作的权限管控。

策略类型

操作类型

说明

相关文档

RAM Policy权限体系

允许的操作

您可以为RAM用户授予平台提供的如下系统策略。

  • 管理DataWorks的权限(AliyunDataWorksFullAccess):授予该权限后,RAM用户可代理主账号管理产品相关内部功能(不包括购买相关功能)。

  • 允许RAM用户购买资源、开通服务的权限(AliyunBSSOrderAccess):授予该权限后,RAM用户可以在管理控制台进行购买资源与续费服务等操作。

产品级大范围权限管控:系统内置策略+自定义策略

禁止的操作

需要先自定义RAM权限策略再授权给指定RAM用户,管控范围包括:

  • 禁止RAM用户操作DataWorks。

  • 禁止RAM用户调用OpenAPI。

  • 禁止RAM用户进入DataWorks产品内各模块界面。

模块级:DataWorks管理控制台权限管控

DataWorks管理控制台权限通过RAM Policy权限策略实现,支持对所有在DataWorks管理控制台中执行的操作权限进行管控。

策略类型

管控对象

相关操作

相关文档

RAM Policy权限体系

工作空间

工作空间列表页面中创建空间、禁用空间、删除空间等操作。

控制台细分权限管控:自定义策略

独享资源组

资源组列表页面中的创建独享资源组、配置独享资源组网络等操作。

报警信息

报警配置页面的配置联系人等操作。

模块级:DataWorks功能模块使用权限管控

DataWorks根据功能使用范围分为全局级功能模块和空间级功能模块,并分别提供全局级角色、空间级角色对相应功能进行权限管控。详情请参见附录1:全局级角色与空间级角色划分。不同模块的使用权限体系是基于RBAC(Role-based access control)权限模型构建的。

策略类型

管控对象

权限说明

相关文档

RBAC(Role-based access control)权限模型

空间级模块

  • 允许操作空间级模块的权限:您可以为用户(RAM用户或Role)添加某个空间级角色,这个用户即可拥有此角色包含的DataWorks相关功能模块的使用权限。

  • 禁止用户访问某空间级模块的权限:例如,禁止用户进入数据开发执行相关开发操作。

说明

平台预设部分空间级角色,其拥有固定的功能点权限,同时支持您自定义空间级别角色权限。

空间级模块权限管控

全局级模块

  • 允许操作全局级模块的权限:您可以为用户(RAM用户或Role)添加某个全局级角色,这个用户即可拥有此角色包含的DataWorks相关功能模块的使用权限。

  • 禁止用户访问某全局级模块的权限:例如,禁止用户进入数据地图、数据保护伞等全局级模块。

说明

平台预设部分全局级角色,同时支持您自定义全局角色控制某角色是否拥有某模块的读写权限。

全局级模块权限控制

附录1:全局级角色与空间级角色划分

DataWorks为您预设了部分全局角色和空间级角色,您可以直接使用这些角色给用户授权,也可以根据需要,自定义全局角色或空间级角色。用户、角色、权限之间的对应关系,如下图所示。RBAC权限模型

说明
  • 在所有角色中,仅“全局级角色”中的租户管理员角色拥有所有功能模块的使用权限。

  • 阿里云主账号下所有RAM用户均为被默认添加为租户成员角色。

  • 如果租户管理员自定义了某个全局级别角色,并指定了该角色不具备某些全局级模块的使用权限,则该自定义角色的权限优先级将高于租户成员的权限。

例如:某个主账号下的RAM用户(RAM用户A),默认情况下为租户成员角色,可访问数据地图功能页面。当租户管理员自定义了某个角色,并指定该角色无数据地图访问权限,并将RAM用户A添加为该自定义角色后,RAM用户A则无法访问数据地图功能页面。

附录2:如何区分“空间级别模块”和“全局级别模块”

从全部产品入口进入产品功能页面后,如果页面顶部有工作空间选择框的话,那此模块就是“空间级别模块“,例如数据集成数据开发等。DataStudio

从全部产品入口进入产品功能页面后,如果页面顶部没有工作空间选择框的话,那此模块就是”全局级别模块”,例如数据保护伞数据地图等。数据地图