文档

全局级模块权限控制

更新时间:

DataWorks支持以全局模块为管控粒度,通过对用户授予不同的租户级角色实现全局模块的精细化权限控制。DataWorks为您预设部分租户角色,同时支持您自定义租户角色。本文为您介绍全局模块成员权限管理的基本操作。

背景信息

进入DataWorks功能模块界面后,当顶部菜单栏不显示DataWorks工作空间名称时,此模块为”全局级别模块”,例如数据地图

  • 针对此类模块,DataWorks为您提供了租户级角色等身份,您可按照职能为RAM用户分配租户角色。

    DataWorks预设部分角色权限,例如,设定某租户角色拥有对全局模块数据地图类目管理的查看、管理权限。

  • 当DataWorks的预设角色不能满足您的需求时,您还可以通过创建自定义租户角色,控制某个租户角色是否有某个全局级模块的管理或访问权限。

    例如,控制某个租户角色无法访问数据地图模块。详情请参见全局模块权限控制产品能力

DataWorks全局模块权限控制基于RBAC(Role-based access control)权限模型实现,将某用户添加为某个DataWorks租户级角色后,该用户即可拥有此角色所包含的DataWorks相关功能模块的使用权限。详情请参见DataWorks权限体系功能概述

使用限制

  • 仅DataWorks企业版工作空间支持添加自定义租户角色,详情请参见DataWorks各版本详解。您可以参考DataWorks版本服务计费说明,升级DataWorks工作空间至企业版。

  • 仅阿里云主账号、租户管理员、授予AliyunDataWorksFullAccess权限的阿里云RAM用户、授予AdministratorAccess权限的阿里云RAM用户可管理租户成员角色。

全局模块权限控制产品能力

RAM子账号默认是DataWorks租户成员,租户成员默认可访问大部分租户级模块,但默认无法执行模块管理操作。您可以通过租户预设角色或者自定义租户角色,控制用户对某租户级模块的管理权限,同时也支持自定义租户角色管控指定全局模块的读写权限。

租户预设角色

DataWorks产品提供的租户级预设角色及各角色的权限详情如下表所示。

预设租户角色名称

权限详情说明

租户所有者

有DataWorks最高权限。默认为阿里云主账号,不可修改。

  • DataWorks产品最高权限管理员,可预设控制租户成员角色权限分配。

  • 可查看、读写及管理DataWorks产品内所有全局模块。

租户管理员

  • 拥有租户级模块最高权限,可预设控制租户成员角色权限分配。

  • 可查看、读写及管理DataWorks产品内所有全局模块。

说明

不包含DataWorks管理控制台的管控及操作权限。管理控制台相关权限请参见产品及控制台权限控制详情:RAM Policy

租户成员

当前阿里云主账号下所有RAM用户默认为DataWorks租户成员。

  • 可查看、读写租户级别模块。

  • 默认无法执行模块管理操作。

安全管理员

  • 安全中心所有权限(查看、读写及管理)。

  • 审批中心的自定义审批策略权限。

  • 数据保护伞所有权限(查看、读写及管理)。

合规管理员

  • 安全中心的数据跨境风险检测权限。

  • 数据跨境自评估申请审批权限。

开放平台管理员

开发者后台读写权限。

数据治理管理员

治理中心读写权限,租户级数据治理管理员可使用全局视角查看治理评估报告、治理项问题、检查项事件等,执行相应的整改操作。

说明

数据治理中心部分操作需要对应模块的角色及权限。详情请参见数据治理中心概述

自定义租户角色

您可以通过自定义租户角色,控制用户对某租户级模块的管理权限。

租户自定义角色

DataWorks自定义租户级角色可控制某角色是否有用某个全局级功能模块的权限,当前支持通过自定义租户角色来管控的全局功能模块如下所示。

可管控全局功能

可管控权限详情

数据保护伞

  • 无权限:是否可访问数据保护伞模块。

  • 可使用:全部只读、全部可操作。

数据地图

  • 无权限:是否可访问数据地图模块。

  • 可使用:普通使用权限。

说明

若要进行元数据访问权限控制,例如,不在数据地图展示某项目元数据、不展示某表、不允许非空间成员访问项目下的表等,请参见附录:数据地图权限管控能力总览

数据综合治理

  • 无权限:是否可访问数据综合治理模块。

  • 可使用:普通使用权限、数据治理管理。

数据分析

  • 无权限:是否可访问数据分析模块。

  • 可使用:普通使用权限。

审批中心

  • 无权限:是否可访问审批中心模块。

  • 可使用:普通使用权限、管理审批流程。

安全中心

  • 无权限:是否可访问安全中心模块。

  • 可使用:普通使用权限。

管理租户成员角色权限

阿里云主账号下所有RAM用户默认为DataWorks租户成员,可访问全局模块,您可通过全局模块权限控制RAM用户可访问的全局模块或授予某RAM用户管理全局模块的权限。

step1:进入租户成员角色管理页面

  1. 进入管理中心

  2. 管理中心左侧导航栏,单击租户成员与角色

step2:(可选)新建自定义租户角色

租户级预设角色权限无法修改,如果预设角色不满足权限管控需求,您可以通过租户角色来自定义,指定此角色是否有用某个全局级功能的权限。

  1. 单击租户角色页面的添加自定义角色

  2. 自定义角色名称,并为自定义角色配置不同全局级功能的权限。

  3. 单击开始配置

    说明

    当界面提示创建成功时,您即成功完成自定义角色的创建,后续进行添加成员时,可将成员关联到此角色。

step3:授予并管理用户角色

  1. 进入租户成员页面。

  2. 在对应成员的角色列添加或删除租户角色,完成对成员的租户角色授权。