本文描述大数据开发治理平台 DataWorks支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。
什么是系统权限策略
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。自定义策略由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。在产品迭代过程中,大数据开发治理平台 DataWorks会向系统策略中添加新的权限,用来支持新的功能和能力。系统策略的更新将会影响所有授予了该策略的 RAM 身份,包括 RAM 用户、RAM 用户组和 RAM 角色。有关 RAM 权限策略的更多信息,请参阅权限策略概览。
产品系统策略旨在帮助用户快速入门,仅需简单配置即可通过控制台访问该产品及其依赖产品。虽然系统策略包含的权限同样适用于 OpenAPI 或 CLI 等访问方式,但为了提高安全性,我们推荐您在这些场景下使用自定义策略,按需授予人员及应用特定 API 的访问权限。
系统策略可进一步细分为产品系统策略、服务角色策略和服务关联角色策略三类。部分云产品仅提供三类策略中的一类或两类,请以本文实际展示的策略类型为准。
产品系统策略
AliyunDataWorksAccessingAlikafkaPolicy
您可以将 AliyunDataWorksAccessingAlikafkaPolicy 策略授权给RAM身份。本策略定义了DataWorks访问Alikafka授权策略。
AliyunDataWorksAccessingDLFReadOnlyPolicy
您可以将 AliyunDataWorksAccessingDLFReadOnlyPolicy 策略授权给RAM身份。本策略定义了DataWorks访问DLF授权策略,包含DLF只读权限, 适用于数据集成创建EMR-Hive数据源时跨账号访问DLF的场景。
AliyunDataWorksAccessingEMRReadOnlyPolicy
您可以将 AliyunDataWorksAccessingEMRReadOnlyPolicy 策略授权给RAM身份。本策略定义了DataWorks访问EMR授权策略,包含EMR只读权限, 适用于数据集成创建EMR-Hive数据源时跨账号访问EMR的场景。
AliyunDataWorksAccessingRdsOSSBinlogPolicy
您可以将 AliyunDataWorksAccessingRdsOSSBinlogPolicy 策略授权给RAM身份。本策略定义了DataWorks读取rds ossbinlog权限。
AliyunDataWorksAccessingRdsReadOnlyPolicy
您可以将 AliyunDataWorksAccessingRdsReadOnlyPolicy 策略授权给RAM身份。本策略定义了DataWorks访问RDS授权策略,包含RDS只读权限。
AliyunDataWorksDIAccessDLF
您可以将 AliyunDataWorksDIAccessDLF 策略授权给RAM身份。本策略定义了DataWorks数据集成同步读写DLF需要配置的权限策略。
AliyunDataWorksExclusiveResourceGroupModify
您可以将 AliyunDataWorksExclusiveResourceGroupModify 策略授权给RAM身份。本策略定义了查看并修改DataWorks所有独享资源组的权限。
AliyunDataWorksFullAccess
您可以将 AliyunDataWorksFullAccess 策略授权给RAM身份。本策略定义了管理DataWorks的权限。
AliyunDataWorksReadOnlyAccess
您可以将 AliyunDataWorksReadOnlyAccess 策略授权给RAM身份。本策略定义了只读访问阿里云DataWorks管理控制台。
服务关联角色策略
AliyunServiceRolePolicyForDataWorks
大数据开发治理平台 DataWorks使用服务关联角色 AliyunServiceRoleForDataWorks 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForDataWorks 是 AliyunServiceRoleForDataWorks 专用的授权策略。本策略由大数据开发治理平台 DataWorks定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
AliyunServiceRolePolicyForDataWorksOpenPlatform
大数据开发治理平台 DataWorks使用服务关联角色 AliyunServiceRoleForDataWorksOpenPlatform 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForDataWorksOpenPlatform 是 AliyunServiceRoleForDataWorksOpenPlatform 专用的授权策略。本策略由大数据开发治理平台 DataWorks定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
AliyunServiceRolePolicyForDataWorksScheduler
大数据开发治理平台 DataWorks使用服务关联角色 AliyunServiceRoleForDataWorksScheduler 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForDataWorksScheduler 是 AliyunServiceRoleForDataWorksScheduler 专用的授权策略。本策略由大数据开发治理平台 DataWorks定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
AliyunServiceRolePolicyForDatataworksAccessOpensearch
大数据开发治理平台 DataWorks使用服务关联角色 AliyunServiceRoleForDatataworksAccessOpensearch 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForDatataworksAccessOpensearch 是 AliyunServiceRoleForDatataworksAccessOpensearch 专用的授权策略。本策略由大数据开发治理平台 DataWorks定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
AliyunServiceRolePolicyForDataworksEngine
大数据开发治理平台 DataWorks使用服务关联角色 AliyunServiceRoleForDataworksEngine 来访问您在其他云产品中的资源。AliyunServiceRolePolicyForDataworksEngine 是 AliyunServiceRoleForDataworksEngine 专用的授权策略。本策略由大数据开发治理平台 DataWorks定义和使用,您不能修改或删除,请勿将其授权给服务关联角色之外的RAM身份。
授权操作参考
RAM 身份默认没有任何权限,需要由阿里云账号管理员为其授权后才能访问阿里云账号下的资源。为保证资源的数据安全,建议您遵循最小授权原则为允许访问云资源的身份授予恰好够用的权限。授权的详细操作请参见: