DataWorks支持以租户全局为管控粒度,通过对用户授予不同角色实现全局模块的精细化权限控制。DataWorks为您预设部分全局角色,同时支持您自定义全局角色。本文为您介绍全局模块成员权限管理的基本操作。
背景信息
- 针对此类模块,DataWorks为您提供了全局级成员及角色等身份,您可按照职能为RAM用户分配全局角色。
DataWorks预设部分角色权限,例如,控制某用户是否有全局模块数据地图的类目管理权限管控。
- 当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义全局级角色,控制某个全局角色是否有某个全局级模块的管理或访问权限。
例如,控制某个全局成员无法访问数据地图模块。详情请参见全局模块权限控制产品能力。
使用限制
- 仅DataWorks企业版工作空间才可以添加自定义角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。
- 仅阿里云主账号、租户管理员、授予AliyunDataWorksFullAccess权限的阿里云RAM用户、授予AdministratorAccess权限的阿里云RAM用户可管理全局成员角色。
全局模块权限控制产品能力
全局成员管理提供全局预设角色,预设角色可控制指定模块的相关功能,同时支持您自定义全局角色管控指定全局模块的读写权限。
预设角色
DataWorks产品提供的全局级预设角色及各角色的权限详情如下表所示。
| 预设全局角色 | 作用全局模块 | 权限详情 |
|---|---|---|
| 租户管理员 | DataWorks所有全局模块 | DataWorks产品最高权限管理员,可以操作DataWorks产品内所有全局模块,并可分配租户成员角色。
说明 不包含阿里云DataWorks管理控制台的管控操作权限,管控权限详情请参见产品及控制台权限控制详情:RAM Policy。
|
| 租户成员 | DataWorks所有全局模块 | 当RAM用户账号被加入某个工作空间后,将默认为租户成员角色,可访问所有全局模块。
说明 当前阿里云主账号下所有RAM用户默认为DataWorks租户成员,
|
| 安全管理员 | 安全中心、审批中心、数据保护伞 |
|
| 数据目录管理员 | 数据地图 |
|
| 元数据采集管理员 | 数据地图 |
|
| 数据治理管理员 | 数据治理中心 |
|
| 合规管理员 | 安全中心 | 安全中心的数据跨境风险检测权限、数据跨境自评估申请审批权限 |
自定义角色
DataWorks自定义全局级角色可控制自定义的角色是否有用某个全局级功能模块的权限,当前支持通过自定义全局角色来管控的全局功能模块如下所示。
| 可管控全局功能 | 可管控权限详情 |
|---|---|
| 数据保护伞 |
|
| 数据地图 |
说明 若要进行元数据访问权限控制,例如,不在数据地图展示某项目元数据、不展示某表、不允许非空间成员访问项目下的表等,请参见附录:数据地图权限管控能力总览。
|
| 数据综合治理 |
|
| 数据分析 |
|
| 审批中心 |
|
| 安全中心 |
|
管理成员角色权限
阿里云主账号下所有RAM用户默认为DataWorks租户成员,可访问全局模块,您可通过全局模块权限控制RAM用户可访问的全局模块或授予某RAM用户管理全局模块的权限。
step1:进入全局成员管理页面
- 登录DataWorks控制台。
- 在左侧导航栏,单击工作空间列表,单击进入数据开发,先进入数据开发页面。
- 在菜单栏左上角单击的
图标,选择全局成员管理,进入全局管理页面。
step2:(可选)新建及管理自定义全局级角色
全局级预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过角色管理来自定义全局级角色,指定此角色是否有用某个全局级功能的权限。