数据资源平台提供了完善的权限管控机制,支持以租户或工作组为管控粒度,通过对用户授予不同的角色实现全局或工作组内的各组件功能权限管控。本文为您详细介绍租户、工作组粒度下的角色体系。
背景信息
数据资源平台功能权限是基于角色的权限控制,即角色对各类组件功能的只读、读写权限控制。
数据资源平台的账号登录体系与阿里云保持一致,统一采用阿里云账号或RAM用户登录。
阿里云账号:即主账号,是阿里云资源的归属及使用计量计费的基本主体,负责生成本企业组织下的子账号,并对子账号进行管理、授权等。
RAM用户:即子账号,由主账号在RAM系统(即阿里云的访问控制)中创建并进行管理,其本身不拥有资源,也没有独立的计量计费,子账号由所属主账号统一控制和付费。
什么是租户
租户是数据资源平台产品使用的基本主体,为最高级权限隔离的命名空间,数据可以在租户内共享,不同租户之间数据完全隔离。
一个阿里云账号即一个租户;使用阿里云账号购买数据资源平台后,该阿里云账号和其RAM子账号登录平台后,将会在同一租户中管理,平台会自动分配阿里云账号租户管理员角色,用于管理使用RAM子账号登录的租户成员操作权限。
一个租户可创建并管理多个工作组,满足同一组织不同部门或业务场景下的数据开发需求。
什么是工作组
工作组是数据资源平台中进行数据研发的基本单元,用于数据隔离的命名空间,通常为一个用户组、一个项目或一个应用。工作组内的数据通常为工作组内全部成员可见,研发工作台的数据权限以工作组为单元相互隔离。因此在开始数据研发前,您需要先创建工作组。
一个工作组支持连接主流的关系型数据库、消息队列等多种类型的云计算资源。云计算资源连通后,即可在工作组中开展数据同步、治理、开发、运维、质量评估等工作。
租户全局角色
数据资源平台产品提供的全局角色及各角色的权限详情如下表所示。租户全局角色对数据资源平台各个组件的权限详情,请参见权限列表。
角色 | 权限详情 |
租户管理员 | 数据资源平台产品最高权限管理员,拥有本租户内的所有权限。 说明 在租户全局角色中,仅租户管理员,可以添加租户成员及角色、修改成员角色以及删除成员,具体操作,请参见用户管理。 |
租户运维人员 | 拥有租户内所有工作组任务的监控权限,可获取任务运行状态,并处理相关监控的告警信息。 |
租户一般用户 | 拥有应用的注册、管理权限,可通过应用的密钥调用数据服务API。 |
租户数据资产管理员 | 拥有全局数据资产的管理权限,包含全局数据资产的编目、公开和审批权限。 |
租户访客 | 拥有租户内各组件的只读访问权限。 |
工作组角色
数据资源平台产品提供的工作组角色及各角色拥有的工作组功能权限点如下表所示。工作组角色对数据资源平台各个组件的权限详情,请参见权限列表。
角色 | 权限详情 |
工作组管理员 | 工作组的管理者,拥有本工作组内的最大权限。 说明 除租户管理员外,工作组角色中,仅工作组管理员,可以添加工作组成员及角色、修改成员角色以及删除成员,具体操作,请参见工作组成员管理。 |
工作组开发者 | 面向数据开发人员,拥有工作组内开发(例如云计算资源更新)等基本的修改权限以及读权限。 |
工作组分析员 | 面向数据分析人员,拥有工作组内标签创建、管理和使用权限,可使用工作组内的数据进行数据分析等操作。 |
工作组访客 | 拥有工作组内各组件的只读访问权限。 |
元数据读取 | 拥有工作组内云计算资源的元数据信息的访问权限。 |
数据读取 | 拥有工作组内云计算资源的元数据信息和数据信息的访问权限 |
数据变更 | 拥有工作组内云计算资源的元数据信息和数据信息的访问权限以及数据变更 |