如果您新申请一个阿里云账号,则默认您的账号为主账号,拥有最高权限。如果您需要使用Dataworks,可以先创建工作空间。工作空间创建完成后,您便是项目(工作空间)所有者。

创建工作空间

创建工作空间的操作请参见创建工作空间

工作空间的模式包括简单模式标准模式,区别如下。

模式 说明
简单模式 如果选择简单模式,编辑任务完成并提交后,直接到生产环境。
说明 简单模式直接操作生产环境,风险较高。
标准模式 编辑任务完成并提交,且需要发布成功后方可到生产环境。
  • 开发环境:工作空间成员使用个人账号在开发环境进行任务开发调试,没有权限直接操作生产环境的数据。
  • 生产环境:生产环境中的代码无法直接修改,必须通过开发环境发布才能修改代码,为保障生产环境的代码稳定性,项目负责人及运维角色应负责代码的审核。
如果工作空间创建完成后,项目所有者没有时间管理,则需要准备子账号并指定为项目(工作空间)管理员角色。
说明 项目管理员需要保证工作空间生产环境的稳定,管控工作空间成员中的角色权限(权限最小化,够用即可),并控制表的权限。

创建子账号

DataWorks上添加RAM子账号为工作空间成员,按需分配⻆色,同时在对应的工作空间授权给子账号对应的角色。每个角色对应的权限点,请参见权限列表

说明 建议一个子账号不要同时授予开发角色和运维角色。

控制相关权限

为保证生产环境的稳定性和安全性,不允许个人账号拥有生产表的删除、修改等权限,且不允许成员随意提交任务。

在做工作空间级别的设置时,您需要首先选择设置个人账号或系统指定账号执行任务,如果设置有误,权限体系会被破坏。

  • 个人账号:执行SQL使用的是个人账号的AccessKey,权限会受到严格控制,无法直接操作生产表。
  • 计算引擎指定账号:执行SQL使用的是主账号的AccessKey,风险极高,可操作当前Region下所有项目的表,请谨慎设置。
其他功能权限要求:
  • 数据集成:添加数据源、批量上云等功能,目前仅项目所有者和项目管理员可以操作。
  • 计算资源(MaxCompute管家):项目管理员可以设置Dataworks的资源组分配,这样运维人员可以通过MaxCompute管家查看系统状态、资源组分配和任务监控。
  • 运维中心:目前仅运维角色和项目管理员可以进行运维中心中的操作。
说明
  • 为保证数据安全,请保持最小粒度为角色授权,够用即可。
  • 通过DataWorks的用户角色分配,有可能影响成员的MaxCompute资源权限,详情请参见MaxCompute和DataWorks权限关系