本文将为您介绍如何添加工作空间成员和角色,以及各角色拥有的权限和区别。

说明 如果您只打算本人使用数加产品,可以跳过本文的操作,直接建表并上传数据

MaxCompute与Dataworks主账号和子账号的权限区别,请参见管理用户及角色

MaxCompute与Dataworks权限对比请参见MaxCompute和DataWorks权限关系

如果您需要邀请其他用户协同使用数加产品,请先根据准备RAM用户的操作准备必要的子账号,并创建工作空间,然后根据下文进行配置。

阿里云数加产品的账号登录体系与阿里云保持一致,统一采用RAM主子账号登录的方式。

子账号计费

阿里云账号(即主账号)是阿里云资源的归属及使用计量计费的基本主体,负责生成本企业组织下的子账号,并对子账号进行管理、授权等操作。

子账号由主账号在RAM系统中创建并管理,本身不拥有资源,也没有独立的计量计费,这些账号由所属主账号统一控制和付费。

添加成员和角色

  1. 登录DataWorks控制台,进入工作空间列表页面。
  2. 单击相应工作空间列表后的进入数据开发
    进入数据开发
  3. 单击右上角的工作空间管理,进入工作空间配置页面。
    工作空间配置
  4. 选择成员管理 > 添加成员
  5. 单击添加成员对话框中的刷新,即可将RAM中当前阿里云账号下存在的子账号,同步至待选列表中。
    刷新
    说明 如果您需要添加新的子账号,请单击上图中的RAM控制台,打开阿里云访问控制页面。添加子账号并交付使用的具体操作请参见准备阿里云账号
  6. 在待添加账号处勾选需要添加的成员账号,单击>,将需要添加的子账号移动至已添加的账号中。勾选需要授予的角色,单击确定即可添加成功。
    添加成员
    说明 需要将子账号移动至已添加的账号列表下,才能够进行授权操作。
  7. 添加完成后,您可以在工作空间中列表中查看或修改已有的成员和对应角色,也可以将子账号从工作空间中删除。
    删除

    工作空间成员共有项目所有者项目管理员开发运维部署访客安全管理员7种角色可以被分配,工作空间创建者默认为管理员角色。具体角色的权限说明请参见权限列表

    角色 说明
    项目所有者 项目所有者拥有工作空间的所有权限。
    项目管理员 除拥有开发角色和运维角色的全部权限外,还可以进行添加/移出工作空间成员并授予角色,创建自定义资源组等操作。
    开发 负责数据开发页面的设计和维护工作。
    运维 负责在运维中心页面管理全部任务的运行情况并进行相应处理。
    部署 仅在多工作空间模式时审核任务代码并决定是否提交运维。
    访客 仅有只读权限,可以查看数据开发页面的业务流程设计和代码内容。
    安全管理员 仅有数据保护伞模块的操作权限,无其他模块权限。
    说明 如果您已经将子账号加入到工作空间中,可以使用子账号登录DataWorks。登录后,需要在数加控制台更新子账号的个人AccessKey,详情请参见用户使用子账号

    MaxCompute与DataWorks权限对比如下表所示。

    MaxCompute角色 MaxCompute数据权限 DataWorks成员角色 DataWorks平台权限特征
    project owner MaxCompute Project的Owner,拥有所有Project的权限。
    admin

    每一个Project在创建时,会自动创建一个admin的role,并且为该role授予了确定的权限:可以访问Project的所有对象、对user或role进行管理、对user或role进行授权。

    与Project Owner相比:admin角色不能将 admin 权限指派给用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型,admin角色所对应的权限不能被修改。

    Project Owner可以将这admin role赋权给一个user,让该user代理安全管理。
    role_project_admin project/table/fuction/resource/instance/job/package的所有权限 项目管理员 指项目空间的管理者。可对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理,并为项目成员赋予项目管理员、开发、运维、部署、访客角色。
    role_project_dev project/fuction/resource/instance/job/package/table 的所有权限 开发 开发角色的用户能够创建工作流、脚本文件、资源和UDF,新建/删除表,同时可以创建发布包,但不能执行发布操作。
    role_project_pe project/fuction/resource/instance/job的所有权限,拥有package的read权限和table 的read/describe权限。 运维 运维角色的用户由项目管理员分配运维权限,拥有发布及线上运维的操作权限,没有数据开发的操作权限。
    role_project_deploy 默认无权限 部署 部署角色与运维角色相似,但是它没有线上运维的操作权限。
    role_project_guest 默认无权限 访客 访客角色的用户只具备查看权限,没有权限进行编辑工作流和代码等操作。
    role_Project_security 默认无权限 安全管理员 安全管理员仅在数据保护伞中用到,用于敏感规则配置,数据风险审计等。