DataWorks提供了完善的权限管控机制,支持在产品级与模块级对权限进行管控,其中,模块级权限按照管控对象又分为DataWorks控制台和DataWorks功能模块权限管控,您可以通过RAM Policy权限体系管理产品级及DataWorks控制台的权限;通过RBAC权限模型管理DataWorks功能模块的使用权限,本文为您详细介绍DataWorks的权限体系。
权限管控体系介绍
DataWorks权限体系按照管控粒度划分如下:
策略类型 | 授权方式 | 作用于DataWorks范围 | 相关文档 |
RAM Policy权限体系 | 通过为用户(RAM用户或Role)绑定某个权限策略,使其获得权限策略中定义的访问权限。
|
| |
RBAC权限模型 | 通过为某用户(RAM用户或Role)添加某个角色,这个用户即可拥有此角色包含的DataWorks相关功能模块的使用权限。
|
|
本文为您介绍DataWorks权限体系基本情况,您还可以参考最佳实践:为RAM用户授权指引文档,根据各细分场景进行用户权限控制。
注意事项
阿里云主账号和拥有AdministratorAccess权限的RAM用户默认拥有较大权限。
产品级权限管控
DataWorks产品级权限策略控制通过RAM Policy权限策略实现,您可以为RAM用户授予系统内置的策略,或您自定义的RAM权限策略,实现DataWorks管理与操作的权限管控。
策略类型 | 操作类型 | 说明 | 相关文档 |
RAM Policy权限体系 | 允许的操作 | 您可以为RAM用户授予平台提供的如下系统策略。
| |
禁止的操作 | 需要先自定义RAM权限策略再授权给指定RAM用户,管控范围包括:
|
模块级:DataWorks管理控制台权限管控
DataWorks管理控制台权限通过RAM Policy权限策略实现,支持对所有在DataWorks管理控制台中执行的操作权限进行管控。
策略类型 | 管控对象 | 相关操作 | 相关文档 |
RAM Policy权限体系 | 工作空间 | 工作空间列表页面中创建空间、禁用空间、删除空间等操作。 | |
独享资源组 | 资源组列表页面中的创建独享资源组、配置独享资源组网络等操作。 | ||
报警信息 | 报警配置页面的配置联系人等操作。 |
模块级:DataWorks功能模块使用权限管控
DataWorks根据功能使用范围分为全局级功能模块和空间级功能模块,并分别提供全局级角色、空间级角色对相应功能进行权限管控。详情请参见附录1:全局级角色与空间级角色划分。不同模块的使用权限体系是基于RBAC(Role-based access control)权限模型构建的。
策略类型 | 管控对象 | 权限说明 | 相关文档 |
RBAC(Role-based access control)权限模型 | 空间级模块 |
说明 平台预设部分空间级角色,其拥有固定的功能点权限,同时支持您自定义空间级别角色权限。 | |
全局级模块 |
说明 平台预设部分全局级角色,同时支持您自定义全局角色控制某角色是否拥有某模块的读写权限。 |
附录1:全局级角色与空间级角色划分
DataWorks为您预设了部分全局角色和空间级角色,您可以直接使用这些角色给用户授权,也可以根据需要,自定义全局角色或空间级角色。用户、角色、权限之间的对应关系,如下图所示。
在所有角色中,仅“全局级角色”中的租户管理员角色拥有所有功能模块的使用权限。
阿里云主账号下所有RAM用户均为被默认添加为租户成员角色。
如果租户管理员自定义了某个全局级别角色,并指定了该角色不具备某些全局级模块的使用权限,则该自定义角色的权限优先级将高于租户成员的权限。
例如:某个主账号下的RAM用户(RAM用户A),默认情况下为租户成员角色,可访问数据地图功能页面。当租户管理员自定义了某个角色,并指定该角色无数据地图访问权限,并将RAM用户A添加为该自定义角色后,RAM用户A则无法访问数据地图功能页面。
附录2:如何区分“空间级别模块”和“全局级别模块”
从全部产品入口进入产品功能页面后,如果页面顶部有工作空间选择框的话,那此模块就是“空间级别模块“,例如数据集成、数据开发等。
从全部产品入口进入产品功能页面后,如果页面顶部没有工作空间选择框的话,那此模块就是”全局级别模块”,例如数据保护伞、数据地图等。