当项目需要多人协作时,直接共享主账号会带来极大的安全风险。通过将 RAM 用户添加为工作空间成员并授予不同角色,您可以实现权限的精细化管控,从而保障数据安全和开发流程的规范性。
工作原理
DataWorks 的成员管理基于阿里云的 RAM(访问控制) 和 RBAC(基于角色的访问控制) 模型。其核心机制如下:
成员身份:工作空间内的成员本质上是您主账号下的 RAM 用户。DataWorks 本身不创建或存储用户身份。
角色授权:您通过为成员授予角色(如管理员、开发、运维)来赋予其在工作空间内的操作权限。
权限映射:DataWorks 角色权限最终会映射到底层计算引擎的权限。例如,授予某成员 DataWorks 的开发角色,系统会自动为该成员在绑定的 MaxCompute 项目中赋予相应的读写权限。理解这一映射关系是正确配置权限的关键。
DataWorks权限体系更多信息,请参见DataWorks权限体系介绍。
权限说明
当前操作者必须拥有该工作空间的空间管理员角色。
阿里云主账号默认拥有所有其创建的工作空间的空间管理员角色。
添加成员并管理角色
单击DataWorks管理中心,选择目标工作空间,单击进入管理中心。
在左侧导航栏切换至空间成员与角色页签,单击右上角的添加成员,弹出添加成员对话框。
(可选)如需创建新的RAM用户,可单击对话框中的上方提示词中的RAM控制台,进入访问控制创建RAM用户。
勾选待添加账号,将其移动至已添加账号列表下,并勾选设置角色可进行授权。
重要被授予空间不同角色的RAM用户,将拥有不同的DataWorks功能操作权限。空间预设角色说明,详情请参见空间级权限控制产品能力。
授予空间管理员的RAM用户具备该工作空间下的所有权限。
工作空间添加成员完成后,您可在空间成员列表查看并管理成员信息。在角色列可以对成员角色进行修改,在操作列移除不需要的成员(项目所有者不支持移除)。
应用于生产建议
最小权限原则:坚决避免为普通开发、运维人员授予空间管理员角色。根据其职责,精确授予开发、运维、部署等角色。
定期审查:项目负责人应定期审查空间成员列表,及时移除已离职或调岗的成员,清理不再需要的权限。
管理员权限风险:空间管理员拥有管理成员、修改空间配置等所有权限,一旦误操作或账号泄露,将对整个项目造成严重影响。此角色应严格控制在 1-2 位核心负责人手中。
后续步骤
添加成员并授予相关角色后,您可进行以下操作,了解DataWorks的基本使用。
快速入门案例,请参加综合:网站用户画像分析。
更多操作案例,请参见产品教程。
常见问题
Q:为什么在“待添加账号”列表中找不到我想添加的 RAM 用户?
A:1、确认该 RAM 用户是否已在阿里云访问控制(RAM)中成功创建。2、在 DataWorks 的添加成员对话框中,单击刷新按钮以获取最新的RAM用户列表。Q:为什么无法移除某个空间成员?
A:您无法移除工作空间的项目所有者。项目所有者通常是创建该工作空间的阿里云主账号,拥有该空间的所有权限。