当需要RAM用户(子账号)使用DataWorks时,您可基于不同使用场景为其分配权限,进行相关权限管控。本文为您介绍不同使用场景的授权指引。
背景信息
DataWorks在产品管控、功能使用等方面提供了完善的权限管控体系,根据功能使用范围分为全局级功能模块和空间级功能模块,并分别提供全局级角色、空间级角色对相应功能进行权限管控。您可通过RAM Policy权限体系控制DataWorks产品管控权限,通过RBAC权限模型控制产品模块权限。
本文基于授权维度,为您介绍DataWorks各使用场景下的授权。您可通过管控权限、全局模块权限管控产品、空间模块权限管控产品,进一步了解DataWorks权限管控体系。
权限管控体系介绍
根据授权的操作类别、权限体系类型等不同维度,RAM用户权限管控划分如下图。
如果希望用户进行全局操作,可授予粗粒度的产品级权限;如果希望用户仅操作某模块,或管理控制台及资源组,可授予细粒度的模块级权限。
本文基于权限管控的授权类型,为您介绍RAM用户权限管控详情,具体请参见:
如果希望用户进行全局操作,可授予粗粒度的产品级权限;如果希望用户仅操作某模块,或管理控制台及资源组,可授予细粒度的模块级权限。
说明 RAM用户所有权限策略中禁止类操作(Deny)权限策略优先。
产品级:DataWorks管理与操作权限管控
产品级的DataWorks管理与操作权限管控,需通过访问控制的RAM权限策略实现,具体如下。| 权限类别 | 权限说明 | 操作流程 | 操作参考文档 |
|---|---|---|---|
| 允许RAM用户管理DataWorks服务 |
DataWorks中默认仅阿里云主账号拥有管理DataWorks服务的权限,如果您需要某RAM用户协同管理DataWorks服务,则可授予其该权限。
说明 设置该权限后,RAM用户将拥有DataWorks较大的权限,可代理主账号管理产品相关内部功能(不包括购买相关功能)。
|
|
为RAM用户授权 |
| 允许RAM用户购买资源、开通服务 | DataWorks中默认仅阿里云主账号可购买资源、开通服务(例如,购买DataWorks增值版本),如果您需要某RAM用户可执行该操作,则可授予其该权限。
说明 授权后,RAM用户可在费用中心(BSS)查看、支付及取消订单。
|
|
为RAM用户授权 |
| 禁止RAM用户操作DataWorks |
如果您需要禁止某用户进入管理控制台、进入DataWorks各模块界面、调用OpenAPI,则可授予其该权限。
说明 DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员,并允许访问DataWorks管理控制台。
|
|
|
| 禁止RAM用户调用OpenAPI | DataWorks中默认具有DataWorks某模块权限的用户可调用相应模块对应的OpenAPI。如果您需要禁止某用户调用所有OpenAPI,则可授予其该权限。 |
|
|
| 禁止RAM用户进入DataWorks的各模块界面 | 如果您需要禁止某用户进入DataWorks的所有模块界面,则可授予其该权限。
说明
|
|
模块级:DataWorks管理控制台权限管控
模块级的DataWorks管理控制台权限管控,需通过访问控制的RAM权限策略实现,具体如下。| 权限类别 | 权限说明 | 操作流程说明 | 参考文档 |
|---|---|---|---|
| 允许RAM用户管理工作空间及资源组 | DataWorks中默认仅阿里云主账号可管理DataWorks资源及工作空间。例如,修改资源组及工作空间配置、删除资源组。 如果您需要某RAM用户可管理资源组及工作空间,则可授予其该权限。 |
|
模块级:DataWorks不同模块权限管控
模块级的DataWorks各模块权限管控,需通过DataWorks工作空间的成员管理实现,具体如下表。| 权限类别 | 权限说明 | 操作流程 |
|---|---|---|
| 授予RAM用户空间角色 | RAM用户需要加入某工作空间成为空间成员后,才可进行相关开发操作。您可通过授予RAM用户不同的空间角色,实现不同模块界面功能的权限管控。例如:
说明 DataWorks空间预设角色及自定义角色介绍,详情请参见
空间级权限控制产品能力。
|
|
| 授予RAM用户全局角色 | DataWorks中默认阿里云主账号下所有RAM用户均为其租户成员,允许访问但无法管理全局模块。如果您需要某RAM用户管理全局模块,实现不同场景的权限管控,则可授予其该权限。例如:
说明 DataWorks全局预设角色及自定义角色介绍,详情请参见
全局级模块权限控制。
|