为了更细粒度的管控权限,实现最小化授权,DataWorks的工作空间为您提供了拥有不同功能权限的角色,您可以根据业务需求,添加目标成员至工作空间,并授予其相应的角色。同时,您还可以自定义角色,针对实际业务制定权限功能。

背景信息

同一个DataWorks工作空间可以添加多个用户,当多个用户共同使用该工作空间时,如果用户权限过大,权限使用不当则会影响数据的安全。同时,如果用户权限过小,则所需的功能可能无法使用。为了解决该问题,DataWorks的工作空间为您提供了成员及角色等身份,您可以针对不同用户的工作空间使用需求,授予其相应的功能权限角色。

当DataWorks的预设角色不能满足您的需求时,您还可以自定义角色,并为角色授予合适的功能权限。

DataWorks工作空间涉及的身份概念如下:
  • 成员:指被加入至DataWorks工作空间内的主账号或RAM用户。
  • 云账号:指阿里云的主账号或RAM用户。
  • 角色:指DataWorks工作空间的成员,在工作空间中拥有的权限身份的载体。 具体如下:
    • 空间管理员:拥有该DataWorks工作空间所有功能的操作权限。例如,可以根据需求给RAM用户授予相应角色、删除本工作空间非项目所有者的成员等。
    • 部署:拥有任务发布的权限。
    • 开发:拥有任务开发、任务提交等权限。
    • 模型设计师:拥有数据建模的使用权限。
    • 访客:拥有DataWorks工作空间的只读权限。
    • 项目所有者:拥有最高权限。
    • 运维:拥有资源配置、任务发布等权限。
    • 安全管理员:拥有数据保护伞功能的使用权限。
    不同角色的具体权限请参见权限列表

使用限制

  • 仅DataWorks企业版工作空间才可以添加自定义角色,详情请参见DataWorks各版本详解。您可以参考DataWorks增值版本,升级DataWorks工作空间至企业版。
  • 空间管理员角色,可以删除成员及已创建的自定义角色
  • 当前仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义的DataWorks新角色与MaxCompute引擎的权限映射关系。

进入成员管理页面

  1. 登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 进入工作空间配置页面。
    您可以通过以下两种方式进入工作空间配置
    • 单击相应工作空间后的工作空间配置。在工作空间配置对话框中,单击更多设置,进入工作空间配置页面。更多设置
    • 单击相应工作空间后的进入数据开发。在数据开发页面,单击右上角的工作空间管理工作空间管理图标,进入工作空间配置页面。工作空间配置
  4. 工作空间配置页面左侧导航栏,单击成员管理,进入成员管理页面。

管理成员

成员管理页签,您可以执行如下操作:
  • 查看成员信息。
    您可以查看当前DataWorks项目空间下,所有成员的账号、角色等信息,也可以根据成员名称、云账号、以及某类别的角色进行筛选,查看目标条件的成员信息及相应角色的成员数量。方便您对成员及相应角色进行集中管控。查看成员信息
  • 添加成员。
    1. 单击成员管理页签右上角的添加成员
    2. 添加成员对话框中的待添加账号模块,勾选需要添加的成员账号。添加角色
      • 空间管理员:拥有该DataWorks工作空间所有功能的操作权限。例如,可以根据需求给RAM用户授予相应角色、删除本工作空间非项目所有者的成员等。
      • 部署:拥有任务发布的权限。
      • 开发:拥有任务开发、任务提交等权限。
      • 模型设计师:拥有数据建模的使用权限。
      • 访客:拥有DataWorks工作空间的只读权限。
      • 项目所有者:拥有最高权限。
      • 运维:拥有资源配置、任务发布等权限。
      • 安全管理员:拥有数据保护伞功能的使用权限。
    3. 单击>图标,将需要添加的RAM用户移动至已添加账号中。
    4. 勾选需要授予的角色。
    5. 单击确定
  • 删除成员。
    您可以在成员管理页面,单击目标成员操作列的删除,删除单个成员。如果DataWorks工作空间中存在多个待删除的成员,则您可以勾选多个成员,批量删除。删除成员

管理角色

角色管理页签,您可以执行如下操作:
  • 添加自定义角色。
    1. 单击角色管理页签右上角的添加自定义角色
    2. 添加自定义角色对话框输入自定义的DataWorks角色名称。例如,test。
    3. 为自定义的新角色配置DataWorks不同模块的权限。
      • 无权限:表示该角色无相应模块的查看权限。
      • 只读:表示该角色只能查看相应模块的数据信息,不能修改模块数据。
      • 读写:表示该角色可以修改相应模块的数据信息。
      DataWorks权限
    4. 配置引擎权限映射
      您可以为自定义的DataWorks新角色配置与其他引擎权限的映射关系。例如,授权DataWorks新角色(test)访问目标MaxCompute项目时,使用MaxCompute的admin角色。MaxCompute与DataWorks权限的对应关系请参见MaxCompute和DataWorks权限关系
      说明

      当前仅支持使用阿里云主账号,或被授予MaxCompute项目admin、Superadmin角色的RAM用户,配置自定义的DataWorks新角色与MaxCompute引擎的权限映射关系。

      配置引擎权限映射
    5. 单击开始配置
  • 查看或编辑角色。
    您可以在角色管理页签,查看DataWorks工作空间已配置的预设角色自定义角色,或编辑、删除自定义角色预设角色的权限信息请参见权限列表查看角色

查看用户权限

您可以在MaxCompute_SQL任务中,执行如下语句,查询自己的权限信息。
show grants --查看当前用户自己的访问权限。
show grants for <username> --查看指定用户的访问权限,仅由空间管理员才有执行权限。

更多查看权限的命令请参见权限查看