DataWorks的权限管理体系分为“产品外部权限体系”和“产品内部权限体系”两个部分,产品外部权限体系主要指“RAM访问控制的权限”,产品内部权限体系主要是“DataWorks产品内的权限控制”,本文将为您详细介绍具体的权限体系。

产品外部权限体系

DataWorks的“产品外部权限”指的是与所有在DataWorks管理控制台中执行的操作相关的权限。例如,创建空间、禁用空间、删除空间、创建独享资源组、配置独享资源组网络、配置联系人等。您可以进入DataWorks管理控制台查看DataWorks支持执行的相关操作。

DataWorks管理控制台的权限均由RAM Policy实现权限定义与访问控制,阿里云主账号默认拥有DataWorks管理控制台的所有操作权限。阿里云账号中的RAM用户或RAM Role,则需要被授予名为AliyunDataWorksFullAccess的RAM Policy后才可拥有DataWorks管理控制台的所有操作权限。详情请参见为RAM用户授权

产品内部权限体系

进入DataWorks工作空间后,鼠标悬停至顶部菜单栏左侧的图标图标,如下图所示,即可显示DataWorks产品的所有功能模块,不同模块所包含的功能权限不同,详情请参见权限集DataWoks界面
DataWorks的权限体系是基于RBAC(Role-based access control)权限模型构建的,一个RAM用户或一个RAM Role被授权相关角色后,即可拥有DataWorks相关功能模块的使用权限。该模型详细内容如下:
  • 用户:包含RAM用户、RAM Role两类。
  • 角色:包含DataWorks空间级角色、DataWorks全局(Region)级别角色两类。
  • 权限:包含DataWorks空间级别功能模块、DataWorks全局(Region)级别功能模块。
"空间级别角色"集成了“空间级别功能模块”的使用权限,“全局(Region)级别角色”集成了“全局(Region)级别功能模块”的使用权限,用户被授权哪类角色,就会拥有哪类功能模块的使用权限。用户、角色、权限之间的对应关系,如下图所示。RBAC权限模型
说明
  • 在所有角色中,仅“全局(Region)级别角色”中的租户管理员角色拥有所有功能模块的使用权限。
  • 默认情况下,当前阿里云主账号下所有RAM用户均为租户成员角色。
  • 如果租户管理员自定义了某个全局(Region)级别角色,并显示地指定了该角色不具备某些全局(Region)级模块的使用权限(例如:无数据地图访问权限),则该自定义角色的权限优先级将高于租户成员的权限。

如何区分“空间级别模块”和“全局级别模块”

界面顶部菜单栏显示DataWorks工作空间名称的模块为“空间级别模块“,例如DataStudioDataStudio
界面顶部菜单栏显示DataWorks工作空间名称的模块为”全局级别模块”,例如数据地图数据地图