用户角色和权限_智能数据建设与治理 Dataphin(Dataphin)-阿里云帮助中心

权限功能是系统安全的重要基础保障，作为企业数据中台建设和数字化转型的核心产品，Dataphin提供了完整的权限体系，来帮助您构建完善安全的权限系统，保障数据安全。本文为您介绍Dataphin权限体系、用户和角色、角色权限概览等，帮助您了解Dataphin用户角色和权限体系。

权限体系

Dataphin权限体系根据操作对象进行划分权限范围，包括全局权限、板块权限、项目权限和Owner权限，详细内容请参见下表。

权限类型	权限描述
全局权限	拥有Dataphin某些全局功能的操作权限，例如计算设置、添加成员等。具体的权限取决于角色，全局权限包含的角色（即全局角色）请参见用户角色和权限。如何获取对应的角色请参见添加Dataphin成员。
板块权限	负责板块信息设置，包括基本信息更新、业务信息更新、单元管理等。具体的权限取决于角色，板块权限包含的角色（即板块角色）请参见用户角色和权限。如何获取对应的角色请参见创建数据板块。
项目权限	拥有项目内资源和成员的管理权限，例如创建编码任务、创建集成任务等。具体的权限取决于角色，项目权限包含的角色（即项目角色）请参见用户角色和权限。如何获取对应的角色请参见添加项目成员。
负责人权限	资源所有人拥有对该资源的所有操作权限。

获取了某角色，就拥有了该角色的权限。如果您需要对某个单独的资源申请权限，请参见权限申请与审批。

用户和角色

用户

用户在Dataphin被授予角色说明

角色对应的权限说明

超级管理员账号

即阿里云用户的主账号，默认会成为Dataphin的超级管理员账号。具有所有的全局角色的权限。

您可以根据业务情况进行删除部分全局角色，具体操作请参见添加Dataphin成员。

通常，企业管理者使用阿里云主账号，由于其权限范围宽泛，不推荐企业中开发者、运维者或分析师等角色的员工使用阿里云主账号。

普通账号

从属于阿里云账号的子账号。您可以将RAM用户同步至Dataphin后，添加为项目空间的成员并授予不同的角色，以实现对Dataphin进行精细的权限管理。

RAM用户在Dataphin中可以被授予不同的RAM角色，以实现不同的权限控制：

详细说明如下：

全局权限包含的角色：
- 超级管理员
- 系统管理员
- 数据源管理员
- 安全管理员
- 质量管理员
板块权限包含的角色：
- 板块架构师
- 业务负责人
- 数据负责人
项目权限包含的角色：
- 项目管理员
- 板块管理员
- 开发者
- 运维
- 分析师
- 访客

角色对应的权限，请参见用户角色和权限。

账号登录说明

如果您使用的是阿里云账号系统，则用RAM账号登录Dataphin系统页面；如果您使用的是企业自有账号系统，则用SSO账号登录Dataphin系统页面；如果您没有账号系统，也可以使用Dataphin内置账号登录Dataphin系统页面。

角色权限概览

权限类型	角色类型	权限概览
全局角色	超级管理员	即阿里云用户的主账号，默认会成为Dataphin的超级管理员账号。具有所有的全局角色的权限。
	系统管理员	拥有超级管理拥有的所有权限，是超级管理员的代行者。
	数据源管理员	拥有创建数据源的权限及编辑所有数据源的权限。
	安全管理员	拥有资产安全模块的最高权限，包括安全策略的制定和修改，以及后续的安全审计权限。说明鉴于数据安全的敏感性，超级管理员和系统管理员不支持修改安全策略。
	质量管理员	拥有创建数据表、数据源等资源的质量规则的权限，查看生成的数据质量报告。
板块角色	板块架构师	拥有业务板块信息设置，包括基本信息更新、业务信息更新等权限。
	业务负责人	当前没有实质性的操作权限。负责业务板块数据的业务使用稳定性。
	数据负责人	当前没有实质性的操作权限。负责板块数据生产质量。
项目角色	项目管理员	拥有管理项目及项目内的资源和成员的权限，同时拥有创建计算源和数据源等权限。但不具有创建业务板块的权限。
	开发者	拥有所属项目内的数据开发权限，包括创建管道任务、规范建模、创建编码任务等。
	运维	拥有所属项目内的数据运维管理的权限，包括任务运维、实例运维、监控报警等。
	分析师	拥有所在项目即席查询的操作权限。
	访客	拥有所在项目的任务的查看权限。

角色权限的详细内容，请参见内置角色与权限列表。

项目权限

除了上述角色权限概览外，用户在Dev、Prod、Basic项目内的操作权限会有以下不同。

环境	详情
Dev	鉴权账号开发环境鉴定个人账号的权限，即检验提交任务的个人账号（如小张）是否有对当前资源（如数据表）的操作权限（如查询）。鉴权原因开发环境的对象在提交到发布中心时，Dataphin会检验提交对象的个人账号，是否有待提交对象的操作权限。如果鉴权成功，则将该对象加入到待发布对象列表中，待发布到生产环境。如果鉴权失败，则Dataphin会提示您申请该对象的操作权限。如何申请权限，请参见权限申请。开发环境执行任务时，Dataphin会对任务中涉及到的资源进行鉴权。即数据处理任务或即席查询在执行时，会检验提交任务的个人账号对所操作数据的权限。如果鉴权成功，则可以执行代码、开发环境的周期性调度任务参与调度。如果鉴权失败，则Dataphin会提示您申请该资源的操作权限。如何申请权限，请参见权限申请。
Prod	鉴权账号生产环境鉴定生产环境项目的项目生产账号，即检验生产环境项目的项目生产账号（如demo_online）是否有对当前资源（如数据表）的操作权限（如查询）。鉴权原因对象从发布中心发布至生产环境时，Dataphin会校验生产环境的生产账号，是否有对所操作数据的权限。如果鉴权成功，则对象发布至生产项目生效。如果鉴权失败，则发布执行操作失败，同时提醒您为生产项目的生产账号申请权限。如何申请权限，请参见权限申请。生产环境执行任务时，Dataphin会对任务中涉及到的资源进行鉴权。
Baisc	鉴权账号生产环境鉴定Basic项目的生产账号，即检验Baisc项目的生产账号是否有对当前资源（如数据表）的操作权限（如查询）。鉴权原因生产环境执行任务时，Dataphin会对任务中涉及到的资源进行鉴权。

权限申请与审批

gagaga

操作人	权限流程	描述
Dataphin成员	权限申请	如果您需要某资源的操作权限时（如数据表的查询权限），您可以申请获取。如何申请权限，请参见权限申请。
Dataphin成员	权限交还	如果您拥有的某个权限不再使用，为了保证权限的最小粒度，您可以主动交还权限。如何交还权限，请参见权限申请。
项目管理员	权限审批	当某用户发起权限申请后，管理员就可以看到权限申请的工单并进行审批，管理员对于权限申请的工单可以有通过、拒绝、转交、加签4种操作。如何审批权限，请参见处理待处理任务。
	主动授权	根据业务场景，如果需要给某个用户授予多个权限或给大量用户授予权限时，您就可以使用主动授权功能，直接给用户授予相应的权限。如何主动授权给其他用户，请参见权限管理。
	主动回收	当需要批量回收用户的账号权限时，管理员可以使用主动回收功能，回收对应用户的权限。如何主动回收权限，请参见权限管理。
Dataphin	过期回收	当用户个人账号所拥有的权限到期之后，Dataphin会自动回收相应的权限。有关我的权限剩余时间和回收情况，请参见权限申请。

概念	描述
权限	访问、操作Dataphin资源的权限。包括功能权限、数据的查看操作权限等。
用户	加入到Dataphin成员列表的成员。
角色	代表权限的集合体，角色可以直接授权给用户，方便使用及管理。
资源	Dataphin的资源对象，包括功能资源和数据资源。
个人账号	项目中的概念，通常指已加入某个项目的用户账号。
生产账号	当您创建开发环境项目、生产环境项目或Basic项目时，系统会自动生成一个生产账号与其项目一一对应。生产账号用于操作生产环境中的离线手动任务、离线周期任务、实时任务、离线手动实例、离线周期实例、离线补数据实例或实时实例。

相关概念