权限功能是系统安全的重要基础保障,作为企业数据中台建设和数字化转型的核心产品,Dataphin提供了完整的权限体系,来帮助您构建完善安全的权限系统,保障数据安全。本文为您介绍Dataphin权限体系、用户和角色、角色权限概览等,帮助您了解Dataphin用户角色和权限体系。
相关概念
概念 | 描述 |
权限 | 访问、操作Dataphin资源的权限。包括功能权限、数据的查看操作权限等。 |
用户 | 加入到Dataphin成员列表的成员。 |
角色 | 代表权限的集合体,角色可以直接授权给用户,方便使用及管理。 |
资源 | Dataphin的资源对象,包括功能资源和数据资源。 |
个人账号 | 项目中的概念,通常指已加入某个项目的用户账号。 |
生产账号 | 当您创建开发环境项目、生产环境项目或Basic项目时,系统会自动生成一个生产账号与其项目一一对应。生产账号用于操作生产环境中的离线手动任务、离线周期任务、实时任务、离线手动实例、离线周期实例、离线补数据实例或实时实例。 |
权限体系
Dataphin权限体系根据操作对象进行划分权限范围,包括全局权限、板块权限、项目权限和Owner权限,详细内容请参见下表。
权限类型 | 权限描述 |
全局权限 | 拥有Dataphin某些全局功能的操作权限,例如计算设置、添加成员等。 具体的权限取决于角色,全局权限包含的角色(即全局角色)请参见用户角色和权限。如何获取对应的角色请参见添加Dataphin成员。 |
板块权限 | 负责板块信息设置,包括基本信息更新、业务信息更新、单元管理等。 |
项目权限 | 拥有项目内资源和成员的管理权限,例如创建编码任务、创建集成任务等。 |
负责人权限 | 资源所有人拥有对该资源的所有操作权限。 |
获取了某角色,就拥有了该角色的权限。如果您需要对某个单独的资源申请权限,请参见权限申请与审批。
用户和角色
用户 | 用户在Dataphin被授予角色说明 | 角色对应的权限说明 |
超级管理员账号 | 即阿里云用户的主账号,默认会成为Dataphin的超级管理员账号。具有所有的全局角色的权限。 您可以根据业务情况进行删除部分全局角色,具体操作请参见添加Dataphin成员。 | 通常,企业管理者使用阿里云主账号,由于其权限范围宽泛,不推荐企业中开发者、运维者或分析师等角色的员工使用阿里云主账号。 |
普通账号 | 从属于阿里云账号的子账号。您可以将RAM用户同步至Dataphin后,添加为项目空间的成员并授予不同的角色,以实现对Dataphin进行精细的权限管理。 RAM用户在Dataphin中可以被授予不同的RAM角色,以实现不同的权限控制: 详细说明如下:
| 角色对应的权限,请参见用户角色和权限。 |
账号登录说明
如果您使用的是阿里云账号系统,则用RAM账号登录Dataphin系统页面;如果您使用的是企业自有账号系统,则用SSO账号登录Dataphin系统页面;如果您没有账号系统,也可以使用Dataphin内置账号登录Dataphin系统页面。
角色权限概览
权限类型 | 角色类型 | 权限概览 |
全局角色 | 超级管理员 | 即阿里云用户的主账号,默认会成为Dataphin的超级管理员账号。具有所有的全局角色的权限。 |
系统管理员 | 拥有超级管理拥有的所有权限,是超级管理员的代行者。 | |
数据源管理员 | 拥有创建数据源的权限及编辑所有数据源的权限。 | |
安全管理员 | 拥有资产安全模块的最高权限,包括安全策略的制定和修改,以及后续的安全审计权限。 说明 鉴于数据安全的敏感性,超级管理员和系统管理员不支持修改安全策略。 | |
质量管理员 | 拥有创建数据表、数据源等资源的质量规则的权限,查看生成的数据质量报告。 | |
板块角色 | 板块架构师 | 拥有业务板块信息设置,包括基本信息更新、业务信息更新等权限。 |
业务负责人 | 当前没有实质性的操作权限。负责业务板块数据的业务使用稳定性。 | |
数据负责人 | 当前没有实质性的操作权限。负责板块数据生产质量。 | |
项目角色 | 项目管理员 | 拥有管理项目及项目内的资源和成员的权限,同时拥有创建计算源和数据源等权限。但不具有创建业务板块的权限。 |
开发者 | 拥有所属项目内的数据开发权限,包括创建管道任务、规范建模、创建编码任务等。 | |
运维 | 拥有所属项目内的数据运维管理的权限,包括任务运维、实例运维、监控报警等。 | |
分析师 | 拥有所在项目即席查询的操作权限。 | |
访客 | 拥有所在项目的任务的查看权限。 |
角色权限的详细内容,请参见内置角色与权限列表。
项目权限
除了上述角色权限概览外,用户在Dev、Prod、Basic项目内的操作权限会有以下不同。
环境 | 详情 |
Dev |
|
Prod |
|
Baisc |
|
权限申请与审批
操作人 | 权限流程 | 描述 |
Dataphin成员 | 权限申请 | 如果您需要某资源的操作权限时(如数据表的查询权限),您可以申请获取。如何申请权限,请参见权限申请。 |
权限交还 | 如果您拥有的某个权限不再使用,为了保证权限的最小粒度,您可以主动交还权限。如何交还权限,请参见权限申请。 | |
项目管理员 | 权限审批 | 当某用户发起权限申请后,管理员就可以看到权限申请的工单并进行审批,管理员对于权限申请的工单可以有通过、拒绝、转交、加签4种操作。如何审批权限,请参见处理待处理任务。 |
主动授权 | 根据业务场景,如果需要给某个用户授予多个权限或给大量用户授予权限时,您就可以使用主动授权功能,直接给用户授予相应的权限。如何主动授权给其他用户,请参见权限管理。 | |
主动回收 | 当需要批量回收用户的账号权限时,管理员可以使用主动回收功能,回收对应用户的权限。如何主动回收权限,请参见权限管理。 | |
Dataphin | 过期回收 | 当用户个人账号所拥有的权限到期之后,Dataphin会自动回收相应的权限。有关我的权限剩余时间和回收情况,请参见权限申请。 |