文档

最佳实践:为RAM用户授权指引

更新时间:

当需要RAM用户(子账号)使用DataWorks时,您可基于不同使用场景为其分配权限,进行相关权限管控。本文为您介绍不同使用场景的授权指引。

背景信息

DataWorks在产品管控、功能使用等方面提供了完善的权限管控体系,根据功能使用范围分为全局级功能模块和空间级功能模块,并分别提供全局级角色、空间级角色对相应功能进行权限管控。您可通过RAM Policy权限体系控制DataWorks产品管控权限,通过RBAC权限模型控制产品模块权限。

本文基于授权维度,为您介绍DataWorks各使用场景下的授权。您可通过管控权限、全局模块权限管控产品、空间模块权限管控产品,进一步了解DataWorks权限管控体系。

权限管控体系介绍

根据授权的操作类别、权限体系类型等不同维度,RAM用户权限管控划分如下图。授权体系介绍如果希望用户进行全局操作,可授予粗粒度的产品级权限;如果希望用户仅操作某模块,或管理控制台及资源组,可授予细粒度的模块级权限。

说明

RAM用户所有权限策略中禁止类操作(Deny)权限策略优先。

本文基于权限管控的授权类型,为您介绍RAM用户权限管控详情,具体请参见:

产品级:DataWorks管理与操作权限管控

产品级的DataWorks管理与操作权限管控,需通过访问控制的RAM权限策略实现,具体如下。

权限类别

权限说明

操作流程

操作参考文档

允许RAM用户管理DataWorks服务

DataWorks中默认仅阿里云主账号拥有管理DataWorks服务的权限,如果您需要某RAM用户协同管理DataWorks服务,则可授予其该权限。

说明

设置该权限后,RAM用户将拥有DataWorks较大的权限,可代理主账号管理产品相关内部功能(不包括购买相关功能)。

  1. 进入访问控制。

  2. 授予RAM用户AliyunDataWorksFullAccess系统权限策略。

为RAM用户授权

允许RAM用户购买资源、开通服务

DataWorks中默认仅阿里云主账号可购买资源、开通服务(例如,购买DataWorks标准版、专业版、企业版),如果您需要某RAM用户可执行该操作,则可授予其该权限。

说明

授权后,RAM用户可在费用中心(BSS)查看、支付及取消订单。

  1. 进入访问控制。

  2. 授予RAM用户AliyunBSSOrderAccess系统权限策略。

为RAM用户授权

禁止RAM用户操作DataWorks

如果您需要禁止某用户进入管理控制台、进入DataWorks各模块界面、调用OpenAPI,则可授予其该权限。

说明

DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员,并允许访问DataWorks管理控制台。

  1. 进入访问控制。

  2. 创建自定义权限策略,策略内容请参考策略一:禁止RAM用户执行所有操作

  3. 找到目标用户,为其授予该自定义权限策略。

禁止RAM用户调用OpenAPI

DataWorks中默认具有DataWorks某模块权限的用户可调用相应模块对应的OpenAPI。如果您需要禁止某用户调用所有OpenAPI,则可授予其该权限。

  1. 进入访问控制。

  2. 创建自定义权限策略,策略内容请参考策略二:禁止RAM用户调用OpenAPI

  3. 找到目标用户,为其授予该自定义权限策略。

禁止RAM用户进入DataWorks的各模块界面

如果您需要禁止某用户进入DataWorks的所有模块界面,则可授予其该权限。

说明
  • DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员,允许访问全局模块,并且可访问已加入工作空间的空间模块。

  • 该策略仅禁止RAM用户访问DataWorks模块界面,但仍可调用其有权限的模块OpenAPI。

  1. 进入访问控制。

  2. 创建自定义权限策略,策略内容请参考策略三:禁止RAM用户进入DataWorks各模块界面

  3. 找到目标用户,为其授予该自定义权限策略。

模块级:DataWorks管理控制台权限管控

模块级的DataWorks管理控制台权限管控,需通过访问控制的RAM权限策略实现,具体如下。

权限类别

权限说明

操作流程说明

参考文档

允许RAM用户管理工作空间及资源组

DataWorks中默认仅阿里云主账号可管理DataWorks资源及工作空间。例如,修改资源组及工作空间配置、删除资源组。

如果您需要某RAM用户可管理资源组及工作空间,则可授予其该权限。

  1. 进入访问控制。

  2. 创建自定义权限策略。

    说明

    资源组及工作空间的管理包含多种细分操作,不同操作对应的权限策略组成不同,实际使用时,请参考产品及控制台权限控制详情:RAM Policy创建权限策略。

  3. 找到目标用户,为其授予该自定义权限策略。

模块级:DataWorks不同模块权限管控

模块级的DataWorks各模块权限管控,需通过DataWorks工作空间的成员管理实现,具体如下表。

权限类别

权限说明

操作流程

授予RAM用户空间角色

RAM用户需要加入某工作空间成为空间成员后,才可进行相关开发操作。您可通过授予RAM用户不同的空间角色,实现不同模块界面功能的权限管控。例如:

  • 授予RAM用户空间预设的开发角色,使其进入指定工作空间进行数据开发。例如,创建表、运行SQL。

  • 授予RAM用户空间预设的运维角色,使其可在工作空间执行任务发布、运维等相关操作。

  • 授予RAM用户自定义角色,使其仅拥有您自定义的权限。

说明

DataWorks空间预设角色及自定义角色介绍,详情请参见空间级权限控制产品能力

  1. 进入空间成员管理页面

  2. 可选:自定义空间角色

  3. 添加RAM用户为空间成员,并授予其空间预设角色或自定义角色

授予RAM用户全局角色

DataWorks中默认阿里云主账号下所有RAM用户均为其租户成员,允许访问但无法管理全局模块。如果您需要某RAM用户管理全局模块,实现不同场景的权限管控,则可授予其该权限。例如:

  • 授予RAM用户指定角色,实现仅该用户拥有指定模块的管理权限。

  • 授予RAM用户指定角色,禁止该用户访问指定模块。

说明

DataWorks全局预设角色及自定义角色介绍,详情请参见全局级模块权限控制

  1. 进入全局成员管理页面

  2. 可选:自定义全局角色

  3. 添加RAM用户为空间成员,并授予其全局预设角色或自定义角色

  • 本页导读 (1)