添加工作空间成员和角色

子账号计费

阿里云账号（即主账号）是阿里云资源的归属及使用计量计费的基本主体，负责生成本企业组织下的子账号，并对子账号进行管理、授权等操作。

子账号由主账号在RAM系统中创建并管理，本身不拥有资源，也没有独立的计量计费，这些账号由所属主账号统一控制和付费。

成员和角色添加步骤

1. 登录DataWorks控制台，进入工作空间列表页面。
2. 单击相应工作空间列表后的进入数据开发。
   
   
3. 单击右上角的工作空间管理，进入工作空间配置页面。
   
   
4. 选择成员管理 > 添加成员。
5. 单击添加成员对话框中的刷新，即可将RAM中当前阿里云账号下存在的子账号，同步至待选列表中。
   
   
   说明 如果您需要添加新的子账号，请单击上图中的RAM控制台，打开阿里云访问控制页面。添加子账号并交付使用的具体操作请参见准备阿里云账号。
6. 在待添加账号处勾选需要添加的成员账号，单击>，将需要添加的子账号移动至已添加的账号中。勾选需要授予的角色，单击确定即可添加成功。
   
   
   说明 需要将子账号移动至已添加的账号列表下，才能够进行授权操作。
7. 添加完成后，您可以在工作空间中列表中查看或修改已有的成员和对应角色，也可以将子账号从工作空间中删除。
   
   

   工作空间成员共有管理员、部署、开发、访客、运维和安全管理员6种角色可被分配，工作空间创建者默认为管理员角色。具体角色的权限说明请参见权限列表。

   角色	说明
   开发	负责数据开发页面设计和维护工作流。
   运维	负责在运维中心页面管理全部任务的运行情况并做相应处理。
   管理员	除拥有开发角色和运维角色全部权限外，还可以进行添加/移出工作空间成员并授予角色，创建自定义资源组等级工作别的操作空间。
   部署	仅在多工作空间模式时审核任务代码并决定是否提交运维。
   访客	仅有只读权限，可查看数据开发页面的工作流设计和代码内容。
   安全管理员	仅有数据保护伞模块的操作权限，无其他模块权限。

   说明 如果您已经将子账号加入到工作空间中，可以使用子账号登录DataWorks。登录后，需要在数加控制台更新子账号的个人AK信息，详情请参见用户使用子账号。

   MaxCompute与DataWorks权限对比如下表所示。

   MaxCompute角色	MaxCompute数据权限	DataWorks成员角色	DataWorks平台权限特征
   project owner	MaxCompute Project的Owner，拥有所有Project的权限。	无	无
   admin	每一个Project在创建时，会自动创建一个admin的role，并且为该role授予了确定的权限：可以访问Project的所有对象、对user或role进行管理、对user或role进行授权。 与Project Owner相比：admin角色不能将 admin 权限指派给用户，不能设定项目空间的安全配置，不能修改项目空间的鉴权模型，admin角色所对应的权限不能被修改。 Project Owner可以将这admin role赋权给一个user，让该user代理安全管理。	无	无
   role_project_admin	project/table/fuction/resource/instance/job/package的所有权限	项目管理员	指项目空间的管理者。可对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理，并为项目成员赋予项目管理员、开发、运维、部署、访客角色。
   role_project_dev	project/fuction/resource/instance/job/package/table 的所有权限	开发	开发角色的用户能够创建工作流、脚本文件、资源和UDF，新建/删除表，同时可以创建发布包，但不能执行发布操作。
   role_project_pe	project/fuction/resource/instance/job的所有权限，拥有package的read权限和table 的read/describe权限。	运维	运维角色的用户由项目管理员分配运维权限，拥有发布及线上运维的操作权限，没有数据开发的操作权限。
   role_project_deploy	默认无权限	部署	部署角色与运维角色相似，但是它没有线上运维的操作权限。
   role_project_guest	默认无权限	访客	访客角色的用户只具备查看权限，没有权限进行编辑工作流和代码等操作。
   role_Project_security	默认无权限	安全管理员	安全管理员仅在数据保护伞中用到，用于敏感规则配置，数据风险审计等。