权限功能是系统安全的重要基础保障,作为企业数据中台建设和数字化转型的核心产品,Dataphin提供了完整的权限体系,来帮助您构建完善安全的权限系统,保障数据安全。本文为您介绍Dataphin支持的用户和角色、权限元素、角色、权限管理,帮助您了解Dataphin用户角色和权限体系。
Dataphin支持的用户和角色
| 用户 | 用户在Dataphin被授予角色说明 | 角色对应的权限说明 |
|---|---|---|
| 阿里云账号 | 即阿里云用户的主账号,默认会成为Dataphin的超级管理员账号。 | 通常,企业管理者使用阿里云主账号,由于其权限范围宽泛,不推荐企业中开发者、运维者或分析师等角色的员工使用阿里云主账号。 |
| RAM用户 | 从属于阿里云账号的子账号。您可以将RAM用户同步至Dataphin后,添加为项目空间的成员并授予不同的角色,以实现对Dataphin进行精细的权限管理。
RAM用户在Dataphin中可以被授予的角色包括:
|
项目管理员、板块管理员、开发者、运维、分析师和访客在Dataphin中不同模块的操作权限不同,详情请参见内置角色及权限列表。 |
权限体系
Dataphin的权限体系从全局到局部,详细内容参加下表。
权限的详细内容,请参见内置角色及权限列表。
| 权限类型 | 详细描述 |
|---|---|
| 全局权限 | 用户的全局角色权限,拥有查看或使用Dataphin某些功能的权限。例如超级管理员、系统管理员、安全管理员、普通用户账号拥有的全局权限。 |
| 管理员权限 |
|
| 项目内权限 | 成员加入项目时被授予的角色,就具有对应角色的权限。 |
| 单独资源权限 | 在全局权限、项目权限和管理员权限外,如果因为业务需要某一个资源的权限(例如一张表的查询权限),您就可以单独申请或授权。 |
权限概念
| 概念 | 描述 |
|---|---|
| 权限 | 访问、操作Dataphin资源的权限。包括功能权限、数据的查看操作权限等。 |
| 用户 | 加入到Dataphin成员列表的成员。 |
| 角色 | 代表权限的集合体,角色可以直接授权给用户,方便使用及管理。目前,支持全局角色和项目内角色两种角色体系。 |
| 资源 | Dataphin的资源对象,包括功能资源和数据资源。 |
| 个人账号 | 项目中的概念,通常指已加入某个项目的用户账号。 |
| 生产账号 | 当您创建Dev项目、Prod项目或Basic项目时,系统会自动生成一个生产账号与其项目一一对应。生产账号用于操作生产环境中的离线手动任务、离线周期任务、实时任务、离线手动实例、离线周期实例、离线补数据实例或实时实例。 |
项目内权限说明
除了通用的权限配置外,基于项目是开发项目(Dev)还是生产项目(Prod),在用户的权限和任务的执行上,还会有以下不同。
| 环境 | 详情 |
|---|---|
| Dev(开发环境) |
|
| Prod(生产环境) |
|
权限申请与审批
| 操作人 | 权限流程 | 描述 |
|---|---|---|
| 用户 | 权限申请 | 如果您需要某资源的操作权限时(如数据表的查询权限),您可以申请获取。如何申请权限,请参见我的权限。 |
| 权限交还 | 如果您拥有的某个权限不再使用,为了保证权限的最小粒度,您可以主动交还权限。如何交还权限,请参见我的权限。 | |
| 管理员 | 权限审批 | 当某用户发起权限申请后,管理员就可以看到权限申请的工单并进行审批,管理员对于权限申请的工单可以有通过、拒绝、转交、加签4种操作。如何审批权限,请参见处理待处理任务。 |
| 主动授权 | 根据业务场景,如果需要给某个用户授予多个权限或给大量用户授予权限时,您就可以使用主动授权功能,直接给用户授予相应的权限。如何主动授权给其他用户,请参见我管理的 | |
| 主动回收 | 当需要批量回收用户的账号权限时,管理员可以使用主动回收功能,回收对应用户的权限。如何主动回收权限,请参见我管理的 | |
| 系统 | 过期回收 | 当用户个人账号所拥有的权限到期之后,Dataphin会自动回收相应的权限。有关我的权限剩余时间和回收情况,请参见我的权限。 |