本文为您介绍如何添加工作空间成员和角色,以及各角色拥有的权限和区别。
前提条件
如果您需要邀请其它用户协同使用DataWorks,请先根据
准备RAM用户的操作准备必要的RAM用户,并
创建工作空间后,再进行本文的操作。
背景信息
说明 如果您计划仅使用主账号,可以跳过本文的操作,直接创建表并上传数据,详情请参见
建表并上传数据。
阿里云数加产品的账号登录体系与阿里云保持一致,统一采用RAM主账号或RAM用户登录的方式。
RAM用户计费的说明如下:
- 阿里云账号(即主账号)是阿里云资源的归属及使用计量计费的基本主体,负责生成本企业组织下的RAM用户,并对RAM用户进行管理、授权等操作。
- RAM用户由主账号在RAM系统中创建并管理,本身不拥有资源,也没有独立的计量计费,这些账号由所属主账号统一控制和付费。
操作步骤
- 进入工作空间配置页面。
- 登录DataWorks控制台。
- 在左侧导航栏,单击工作空间列表。
- 单击相应工作空间后的工作空间配置。
- 在工作空间配置对话框,单击更多设置,进入工作空间配置页面。
您也可以进入
数据开发页面,单击右上角的
图标,进入
工作空间配置页面。
- 在左侧导航栏,单击成员管理。
- 在成员管理页面,单击右上角的添加成员。
- 在添加成员对话框,单击刷新,同步当前阿里云账号下的RAM用户至待选列表中。
说明 如果您需要添加新的RAM用户,请单击上图中的
RAM控制台,打开阿里云访问控制页面。添加RAM用户并交付使用的具体操作请参见
准备RAM用户。
- 在待添加账号处勾选需要添加的成员账号,单击>,将需要添加的RAM用户移动至已添加的账号中。
- 勾选需要授予的角色,单击确定。
注意 需要将RAM用户移动至已添加的账号列表下,才可以进行授权。
- 添加完成后,您可以在工作空间中列表中查看或修改已有的成员和对应角色,也可以从工作空间中删除非项目所有者角色的RAM用户。
工作空间成员包括
项目所有者、
项目管理员、
开发、
运维、
部署、
访客和
安全管理员等角色,工作空间创建者默认为管理员角色。
具体角色的权限说明请参见权限列表。
| 角色 |
描述 |
| 项目所有者 |
项目所有者拥有工作空间的所有权限。 |
| 项目管理员 |
除拥有开发角色和运维角色的全部权限外,还可以进行添加/移出工作空间成员并授予角色,创建自定义资源组等操作。 |
| 开发 |
负责数据开发页面的设计和维护工作。 |
| 运维 |
负责在运维中心页面管理全部任务的运行情况并进行相应处理。 |
| 部署 |
仅在多工作空间模式时审核任务代码并决定是否提交运维。 |
| 访客 |
仅有只读权限,可以查看数据开发页面的业务流程设计和代码内容。 |
| 安全管理员 |
仅有数据保护伞模块的操作权限,无其它模块权限。详情请参见数据保护伞。
|
工作空间使用的是MaxCompute引擎的情况下,DataWorks预设角色权限与MaxCompute引擎(开发项目)角色与的存在映射关系,对应关系参考下表,
DataWorks与MaxCompute权限对比如下表所示。
| DataWorks成员角色 |
MaxCompute角色 |
DataWorks开发环境/MaxCompute DEV引擎项目数据权限 |
DataWorks生产环境/MaxCompute PROD引擎项目数据权限 |
DataWorks平台权限特征 |
| 项目管理员 |
Role_Project_Admin |
- 引擎层面:当前项目下project/table/fuction/resource/instance/job/package的所有权限。
- DW层面:可进行数据开发,并且发布任务至生产环境。
|
默认无权限、需要在安全中心走审批流程申请 |
指项目空间的管理者。可以对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理,并为项目成员赋予项目管理员、开发、运维、部署、访客角色。 |
| 开发 |
Role_Project_Dev |
- 引擎层面:当前项目下project/fuction/resource/instance/job/package/table的所有权限。
- DW层面:可进行数据开发,但无法发布任务至生产环境。
|
默认无权限、需要在安全中心走审批流程申请 |
开发角色的用户能够创建工作流、脚本文件、资源和UDF以及新建和删除表,同时可以创建发布包,但不能执行发布操作。 |
| 运维 |
Role_Project_Pe |
当前项目空间下project/fuction/resource/instance/job的所有权限,拥有package的read权限和table 的read/describe权限。
说明 引擎层面有权限,但在DataWorks上,运维角色不能直接在界面运行节点进行任务执行操作。
|
默认无权限、需要在安全中心走审批流程申请 |
运维角色的用户由项目管理员分配运维权限,拥有发布及线上运维的操作权限,没有数据开发的操作权限。 |
| 部署 |
Role_Project_Deploy |
默认无权限。 |
默认无权限、需要在安全中心走审批流程申请 |
部署角色与运维角色相似,但是它没有线上运维的操作权限。 |
| 访客 |
Role_Project_Guest |
默认无权限。 |
默认无权限、需要在安全中心走审批流程申请 |
访客角色的用户只具备查看权限,没有权限进行编辑工作流和代码等操作。 |
| 安全管理员 |
Role_Project_Security |
默认无权限。 |
默认无权限、需要在安全中心走审批流程申请 |
安全管理员仅在数据保护伞模块中使用,用于敏感规则配置、数据风险审计等。 |
| 无 |
Project Owner |
MaxCompute项目空间的所有者,拥有该项目空间的所有权限。 |
有权限 |
无 |
| 无 |
Super_Administrator |
MaxCompute项目空间的超级管理员,拥有项目空间的管理类权限以及项目空间内所有类型资源的全部权限。 |
有权限 |
无 |
| 无 |
Admin |
每一个项目在创建时,会自动创建一个Admin角色,并且为该角色授予确定的权限。即可以访问项目空间内的所有对象、对用户或角色进行管理、对用户或角色进行授权。与项目空间的所有者相比,Admin角色不能将Admin权限指派给用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型,Admin角色所对应的权限不能被修改。项目空间的所有者可以将Admin角色赋权给一个用户,让该用户代理安全管理。 |
有权限 |
无 |
详情请参见
角色与权限详情。