DataWorks支持以全局模块为管控粒度,通过对用户授予不同的租户级角色实现全局模块的精细化权限控制。DataWorks为您预设部分租户角色,同时支持您自定义租户角色。本文为您介绍全局模块成员权限管理的基本操作。

背景信息

进入DataWorks功能模块界面后,当顶部菜单栏不显示DataWorks工作空间名称时,此模块为”全局级别模块”,例如数据地图
  • 针对此类模块,DataWorks为您提供了租户级角色等身份,您可按照职能为RAM用户分配租户角色。

    DataWorks预设部分角色权限,例如,控制某用户是否有全局模块数据地图的类目管理权限管控。

  • 当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义租户角色,控制某个租户角色是否有某个全局级模块的管理或访问权限。

    例如,控制某个成员无法访问数据地图模块。详情请参见全局模块权限控制产品能力

DataWorks全局模块权限控制基于RBAC(Role-based access control)权限模型实现,将某用户添加为某个DataWorks租户级角色后,该用户即可拥有此角色所包含的DataWorks相关功能模块的使用权限。详情请参见DataWorks权限体系功能概述

使用限制

  • 仅DataWorks企业版工作空间才可以添加自定义租户角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。
  • 仅阿里云主账号、租户管理员、授予AliyunDataWorksFullAccess权限的阿里云RAM用户、授予AdministratorAccess权限的阿里云RAM用户可管理租户成员角色。

全局模块权限控制产品能力

租户成员与角色管理提供租户预设角色,预设角色可控制指定模块的相关功能,同时支持您自定义租户角色管控指定全局模块的读写权限。

租户预设角色

DataWorks产品提供的租户级预设角色及各角色的权限详情如下表所示。
预设租户角色作用全局模块权限详情
租户管理员DataWorks所有全局模块DataWorks产品最高权限管理员,可以操作DataWorks产品内所有全局模块,并可分配租户成员角色。
说明 不包含阿里云DataWorks管理控制台的管控操作权限,管控权限详情请参见产品及控制台权限控制详情:RAM Policy
租户成员DataWorks所有全局模块当RAM用户账号被加入某个工作空间后,将默认为租户成员角色,可访问所有全局模块。
说明 当前阿里云主账号下所有RAM用户默认为DataWorks租户成员,
安全管理员安全中心、审批中心、数据保护伞
  • 安全中心所有权限
  • 审批中心的自定义审批策略权限
  • 数据保护伞所有权限
合规管理员安全中心安全中心的数据跨境风险检测权限、数据跨境自评估申请审批权限

租户自定义角色

DataWorks自定义租户级角色可控制某角色是否有用某个全局级功能模块的权限,当前支持通过自定义租户角色来管控的全局功能模块如下所示。
可管控全局功能可管控权限详情
数据保护伞
  • 无权限:是否可访问数据保护伞模块。
  • 可使用:全部只读、全部可操作
数据地图
  • 无权限:是否可访问数据地图模块。
  • 可使用:普通使用权限
说明 若要进行元数据访问权限控制,例如,不在数据地图展示某项目元数据、不展示某表、不允许非空间成员访问项目下的表等,请参见附录:数据地图权限管控能力总览
数据综合治理
  • 无权限:是否可访问数据综合治理模块。
  • 可使用:普通使用权限、数据治理管理
数据分析
  • 无权限:是否可访问数据分析模块。
  • 可使用:普通使用权限
审批中心
  • 无权限:是否可访问审批中心模块。
  • 可使用:普通使用权限、管理审批流程
安全中心
  • 无权限:是否可访问安全中心模块。
  • 可使用:普通使用权限

管理租户成员角色权限

阿里云主账号下所有RAM用户默认为DataWorks租户成员,可访问全局模块,您可通过全局模块权限控制RAM用户可访问的全局模块或授予某RAM用户管理全局模块的权限。

step1:进入租户成员角色管理页面

  1. 进入管理中心
  2. 管理中心左侧导航栏,单击租户成员与角色

step2:(可选)新建及管理自定义租户级角色

租户级预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过租户角色来自定义,指定此角色是否有用某个全局级功能的权限。

  1. 单击租户角色页面的添加自定义角色
  2. 自定义角色名称,并为自定义角色配置不同全局级功能的权限。
  3. 单击开始配置
    当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联此角色。

step3:授予并管理用户角色

  1. 进入租户成员页面。
  2. 在对应成员的角色列添加或删除租户角色,完成对成员的租户角色授权。
    说明 当RAM用户账号被加入某个工作空间后,将默认为租户成员角色,可访问所有全局模块。