DataWorks空间级预设角色与MaxCompute项目的权限映射及权限详情如下表所示。更多MaxCompute权限详情介绍,请参见MaxCompute权限、MaxCompute数据权限控制详情。
DataWorks简单模式工作空间默认无法做到权限控制,表格中的DataWorks开发环境/MaxCompute DEV引擎项目数据权限、DataWorks生产环境/MaxCompute PROD引擎项目数据权限仅适用于标准模式工作空间。DataWorks工作空间模式介绍,请参见必读:简单模式和标准模式的区别。
映射关系 | 权限详情 | |||
DataWorks成员角色或身份 | MaxCompute角色 | DataWorks开发环境/MaxCompute DEV引擎项目数据权限 | DataWorks生产环境/MaxCompute PROD引擎项目数据权限 | DataWorks平台权限特征 |
空间管理员 | Role_Project_Admin |
| 默认无权限、需要在安全中心走审批流程申请。 | 指项目空间的管理者。可以对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理,并为项目成员赋予项目管理员、开发、运维、部署、访客角色。 |
开发 | Role_Project_Dev |
| 默认无权限、需要在安全中心走审批流程申请。 | 开发角色的用户能够创建工作流、脚本文件、资源和UDF以及新建和删除表,同时可以创建发布包,但不能执行发布操作。 |
运维 | Role_Project_Pe | 当前项目空间下project/fuction/resource/instance/job的所有权限,拥有package的Read权限和table的Read/Describe权限。 说明 MaxCompute引擎层面有权限,但在DataWorks上,运维角色不能直接在界面运行节点进行任务执行操作。 | 默认无权限、需要在安全中心走审批流程申请。 | 运维角色的用户由项目管理员分配运维权限,拥有发布及线上运维的操作权限,没有数据开发的操作权限。 |
部署 | Role_Project_Deploy | 默认无权限。 | 默认无权限、需要在安全中心走审批流程申请。 | 部署角色与运维角色相似,但是它没有线上运维的操作权限。 |
访客 | Role_Project_Guest | 默认无权限。 | 默认无权限、需要在安全中心走审批流程申请。 | 访客角色的用户只具备查看权限,没有权限进行编辑工作流和代码等操作。 |
安全管理员 | Role_Project_Security | 默认无权限。 | 默认无权限、需要在安全中心走审批流程申请。 | 安全管理员仅在数据保护伞模块中使用,用于敏感规则配置、数据风险审计等。 |
数据分析师 | Role_Project_Data_Analyst | 默认无权限、需要在安全中心走审批流程申请。 | 仅具有数据分析模块的操作权限。 | |
模型设计师 | Pole_Project_Erd | 默认无权限。 | 默认无权限、需要在安全中心走审批流程申请。 | 该角色可以在智能建模查看模型,进行数仓规划、数据标准、维度建模和数据指标等内容的编辑,但是不能发布模型。 |
数据治理管理员 | Role_Project_Data_Governance | 默认无权限。 | 默认无权限、需要在安全中心走审批流程申请。 | 该角色仅作用于数据治理中心,可查看管理的工作空间中待治理问题,进行数据治理计划的定义和检查项的开启。无数据开发、运维等操作权限。 |
空间所有者,即阿里云主账号。 | Project Owner | MaxCompute项目空间的所有者,拥有该项目空间的所有权限。 | 有权限 | 无 |
无 | Super_Administrator | MaxCompute项目空间的超级管理员,拥有项目空间的管理类权限以及项目空间内所有类型资源的全部权限。 | 有权限 | 无 |
无 | Admin | 每一个项目在创建时,会自动创建一个Admin角色,并且为该角色授予确定的权限。即可以访问项目空间内的所有对象、对用户或角色进行管理、授权。与项目空间的所有者相比,Admin角色不能将Admin权限指派给用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型,Admin角色所对应的权限不能被修改。项目空间的所有者可以将Admin角色赋权给一个用户,让该用户代理安全管理。 | 有权限 | 无 |
无 | Role_Project_Scheduler | 默认无权限。 |
| 统一使用该身份调度执行生产环境的MaxCompute任务。 |