附录:空间级预设角色与MaxCompute引擎权限的映射关系

DataWorks空间级预设角色与MaxCompute项目的权限映射及权限详情如下表所示。更多MaxCompute权限详情介绍,请参见MaxCompute权限MaxCompute数据权限控制详情

说明

DataWorks简单模式工作空间默认无法做到权限控制,表格中的DataWorks开发环境/MaxCompute DEV引擎项目数据权限、DataWorks生产环境/MaxCompute PROD引擎项目数据权限仅适用于标准模式工作空间。DataWorks工作空间模式介绍,请参见必读:简单模式和标准模式的区别

映射关系

权限详情

DataWorks成员角色或身份

MaxCompute角色

DataWorks开发环境/MaxCompute DEV引擎项目数据权限

DataWorks生产环境/MaxCompute PROD引擎项目数据权限

DataWorks平台权限特征

空间管理员

Role_Project_Admin

  • MaxCompute引擎层面:当前项目下project/table/fuction/resource/instance/job的所有权限,以及packageread权限。

  • DataWorks层面:可进行数据开发,并且发布任务至生产环境。

默认无权限、需要在安全中心走审批流程申请。

指项目空间的管理者。可以对该项目空间的基本属性、数据源、当前项目空间计算引擎配置和项目成员等进行管理,并为项目成员赋予项目管理员、开发、运维、部署、访客角色。

开发

Role_Project_Dev

  • MaxCompute引擎层面:当前项目下project/table/fuction/resource/instance/job的所有权限,以及packageread权限。

  • DataWorks层面:可进行数据开发,但无法发布任务至生产环境。

默认无权限、需要在安全中心走审批流程申请。

开发角色的用户能够创建工作流、脚本文件、资源和UDF以及新建和删除表,同时可以创建发布包,但不能执行发布操作。

运维

Role_Project_Pe

当前项目空间下project/fuction/resource/instance/job的所有权限,拥有package的Read权限和table的Read/Describe权限。

说明

MaxCompute引擎层面有权限,但在DataWorks上,运维角色不能直接在界面运行节点进行任务执行操作。

默认无权限、需要在安全中心走审批流程申请。

运维角色的用户由项目管理员分配运维权限,拥有发布及线上运维的操作权限,没有数据开发的操作权限。

部署

Role_Project_Deploy

默认无权限。

默认无权限、需要在安全中心走审批流程申请。

部署角色与运维角色相似,但是它没有线上运维的操作权限。

访客

Role_Project_Guest

默认无权限。

默认无权限、需要在安全中心走审批流程申请。

访客角色的用户只具备查看权限,没有权限进行编辑工作流和代码等操作。

安全管理员

Role_Project_Security

默认无权限。

默认无权限、需要在安全中心走审批流程申请。

安全管理员仅在数据保护伞模块中使用,用于敏感规则配置、数据风险审计等。

数据分析师

Role_Project_Data_Analyst

  • MaxCompute引擎层面:当前项目空间下的CreateInstanceCreateTable权限。

  • DataWorks层面:可查看智能数据建模的模型;查看和使用数据分析的功能。

默认无权限、需要在安全中心走审批流程申请。

仅具有数据分析模块的操作权限。

模型设计师

Pole_Project_Erd

默认无权限。

默认无权限、需要在安全中心走审批流程申请。

该角色可以在智能建模查看模型,进行数仓规划、数据标准、维度建模和数据指标等内容的编辑,但是不能发布模型。

数据治理管理员

Role_Project_Data_Governance

默认无权限。

默认无权限、需要在安全中心走审批流程申请。

该角色仅作用于数据治理中心,可查看管理的工作空间中待治理问题,进行数据治理计划的定义和检查项的开启。无数据开发、运维等操作权限。

空间所有者,即阿里云主账号。

Project Owner

MaxCompute项目空间的所有者,拥有该项目空间的所有权限。

有权限

Super_Administrator

MaxCompute项目空间的超级管理员,拥有项目空间的管理类权限以及项目空间内所有类型资源的全部权限。

有权限

Admin

每一个项目在创建时,会自动创建一个Admin角色,并且为该角色授予确定的权限。即可以访问项目空间内的所有对象、对用户或角色进行管理、授权。与项目空间的所有者相比,Admin角色不能将Admin权限指派给用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型,Admin角色所对应的权限不能被修改。项目空间的所有者可以将Admin角色赋权给一个用户,让该用户代理安全管理。

有权限

Role_Project_Scheduler

默认无权限。

  • MaxCompute引擎层面:当前项目下project/table/fuction/resource/instance/job的所有权限,以及package的read权限。

  • DataWorks层面:用于在生产调度环境中作为执行身份。

    说明

    当RAM用户或RAM角色被设置为某MaxCompute项目生产环境的调度访问身份(即创建生产环境数据源时,被配置为默认访问身份),则该用户或角色会被映射为MaxCompute项目的Role_Project_Scheduler角色。默认访问身份配置详情,请参见创建数据源

统一使用该身份调度执行生产环境的MaxCompute任务。