本文将为您介绍当前DataWorks产品内部不同预设角色在"空间级别角色"和"全局级别角色"模块中的权限列表详情。

产品体系外权限控制

下表为权限点场景示例:
权限控制点示例 权限点 授权行为
创建DataWorks工作空间 AliyunDataWorksFullAccess 阿里云主账号为子账号在阿里云访问控制处添加。
购买相关服务 AliyunBSSOrderAccess 阿里云主账号为子账号在阿里云访问控制处添加。

空间级别角色

DataWorks空间级别角色分为DataWorks预设角色与DataWorks自定义空间级别角色,DataWorks自定义空间级别角色可控制某个自定义空间级别角色是否有用某个空间级别模块的权限。同时,DataWorks产品提供项目所有者(不可以授权)、空间管理员、开发、运维、部署、访客、安全管理员、模型设计师8种预设角色,不同的预设角色拥有的DataWorks功能权限及引擎数据库权限(表,资源等的增删改查权限)可能有所差异。

  • DataWorks自定义空间级别角色可自由控制某个自定义空间级别角色是否有用某个空间级别功能模块的权限。
  • DataWorks自定义空间级别角色引擎权限的差异:
    • 工作空间使用的非MaxCompute引擎情况下,被授权为自定义角色的用户,其引擎任务执行时使用的账号与引擎信息绑定的账号一致,与自定义空间级别角色权限无直接关系,即在非MaxCompute引擎下,预设角色拥有的权限差异仅体现在DataWorks功能权限上。
    • 工作空间使用的非MaxCompute引擎情况下,DataWorks自定义空间级角色拥有的引擎权限由自定义空间级别角色配置的引擎权限映射有关。
  • 对应的预设角色与所拥有的DataWorks功能权限差异,详情请参见权限列表
  • 对应的预设角色与所拥有的引擎权限差异:
    • 工作空间使用的非MaxCompute引擎情况下,被授权为预设角色的用户,其引擎任务执行时使用的账号与引擎信息绑定的账号一致,与预设角色权限无直接关系,即在非MaxCompute引擎下,预设角色拥有的权限差异仅体现在DataWorks功能权限上。
    • 工作空间使用的为MaxCompute引擎情况下,被授权为预设角色的用户,其
DataWorks与MaxCompute权限对比如下表所示。
DataWorks成员角色 MaxCompute角色 DataWorks开发环境/MaxCompute DEV引擎项目数据权限 DataWorks生产环境/MaxCompute PROD引擎项目数据权限 DataWorks平台权限特征
项目管理员 Role_Project_Admin
  • 引擎层面:当前项目下project/table/fuction/resource/instance/job/package的所有权限。
  • DW层面:可进行数据开发,并且发布任务至生产环境。
默认无权限、需要在安全中心走审批流程申请 指项目空间的管理者。可以对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理,并为项目成员赋予项目管理员、开发、运维、部署、访客角色。
开发 Role_Project_Dev
  • 引擎层面:当前项目下project/fuction/resource/instance/job/package/table的所有权限。
  • DW层面:可进行数据开发,但无法发布任务至生产环境。
默认无权限、需要在安全中心走审批流程申请 开发角色的用户能够创建工作流、脚本文件、资源和UDF以及新建和删除表,同时可以创建发布包,但不能执行发布操作。
运维 Role_Project_Pe 当前项目空间下project/fuction/resource/instance/job的所有权限,拥有package的read权限和table 的read/describe权限。
说明 引擎层面有权限,但在DataWorks上,运维角色不能直接在界面运行节点进行任务执行操作。
默认无权限、需要在安全中心走审批流程申请 运维角色的用户由项目管理员分配运维权限,拥有发布及线上运维的操作权限,没有数据开发的操作权限。
部署 Role_Project_Deploy 默认无权限。 默认无权限、需要在安全中心走审批流程申请 部署角色与运维角色相似,但是它没有线上运维的操作权限。
访客 Role_Project_Guest 默认无权限。 默认无权限、需要在安全中心走审批流程申请 访客角色的用户只具备查看权限,没有权限进行编辑工作流和代码等操作。
安全管理员 Role_Project_Security 默认无权限。 默认无权限、需要在安全中心走审批流程申请 安全管理员仅在数据保护伞模块中使用,用于敏感规则配置、数据风险审计等。
Project Owner MaxCompute项目空间的所有者,拥有该项目空间的所有权限。 有权限
Super_Administrator MaxCompute项目空间的超级管理员,拥有项目空间的管理类权限以及项目空间内所有类型资源的全部权限。 有权限
Admin 每一个项目在创建时,会自动创建一个Admin角色,并且为该角色授予确定的权限。即可以访问项目空间内的所有对象、对用户或角色进行管理、对用户或角色进行授权。与项目空间的所有者相比,Admin角色不能将Admin权限指派给用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型,Admin角色所对应的权限不能被修改。项目空间的所有者可以将Admin角色赋权给一个用户,让该用户代理安全管理。 有权限

全局(Region)级别角色

DataWorks全局级别包括租户管理员、租户成员、租户安全管理员、数据目录管理员、元数据采集管理员、数据治理管理员6种预设角色。角色的权限介绍如下。
角色 权限点 授权人 描述
租户管理员 拥有DataWorks所有产品功能的权限(不包含阿里云DataWorks管理控制台的操作权限)。 阿里云主账号、拥有AliyunDataWorksFullAccess的RAM用户、拥有租户管理员角色的RAM用户可以将租户管理员角色授权给其RAM用户。 DataWorks产品最高权限管理员,可以操作DataWorks产品内的所有功能。
租户成员 拥有和目前开发角色同样的使用权限。
  • 数据保护伞只读权限
  • 安全中心普通使用权限(不包含全部权限审计)
  • 数据地图普通使用权限(不包含数据目录管理员、元数据采集管理员的权限)
  • 数据分析使用权限
  • 审批中心普通使用权限(不包含审批策略管理)
无需授权,默认情况下,当前阿里云主账号下所有RAM用户均为租户成员角色。 当前阿里云主账号下所有RAM用户、RAM Role默认都是租户成员
租户安全管理员 拥有安全中心、审批中心、数据保护伞的所有权限。 租户管理员可以将其他RAM用户授权为安全管理员 用于管理工作空间的安全相关配置。
数据治理管理员 拥有数据综合治理的所有权限。 租户管理员可以将其他人授权为数据治理管理员 用户管理综合治理功能。
数据目录管理员 拥有管理数据地图数据目录功能权限。 租户管理员可以将其他人授权为数据目录管理员 可以管理用数据地图的数据目录功能。
元数据采集管理员 拥有数据地图元数据采集权限。 租户管理员可以将其他人授权为元数据采集管理员 可以使用数据地图的元数据采集功能。