阿里云大数据开发治理平台 DataWorks最佳实践：为RAM用户授权指引-云淘科技

当需要RAM用户（子账号）使用DataWorks时，您可基于不同使用场景为其分配权限，进行相关权限管控。本文为您介绍不同使用场景的授权指引。

背景信息

DataWorks在产品管控、功能使用等方面提供了完善的权限管控体系，根据功能使用范围分为全局级功能模块和空间级功能模块，并分别提供全局级角色、空间级角色对相应功能进行权限管控。您可通过RAM Policy权限体系控制DataWorks产品管控权限，通过RBAC权限模型控制产品模块权限。

本文基于授权维度，为您介绍DataWorks各使用场景下的授权。您可通过管控权限、全局模块权限管控产品、空间模块权限管控产品，进一步了解DataWorks权限管控体系。

权限管控体系介绍

根据授权的操作类别、权限体系类型等不同维度，RAM用户权限管控划分如下图。
阿里云大数据开发治理平台 DataWorks最佳实践：为RAM用户授权指引-云淘科技如果希望用户进行全局操作，可授予粗粒度的产品级权限；如果希望用户仅操作某模块，或管理控制台及资源组，可授予细粒度的模块级权限。

说明 RAM用户所有权限策略中禁止类操作（Deny）权限策略优先。

本文基于权限管控的授权类型，为您介绍RAM用户权限管控详情，具体请参见：

产品级：DataWorks管理与操作权限管控
模块级：DataWorks管理控制台权限管控
模块级：DataWorks不同模块权限管控

产品级：DataWorks管理与操作权限管控

产品级的DataWorks管理与操作权限管控，需通过访问控制的RAM权限策略实现，具体如下。


权限类别	权限说明	操作流程	操作参考文档
允许RAM用户管理DataWorks服务	DataWorks中默认仅阿里云主账号拥有管理DataWorks服务的权限，如果您需要某RAM用户协同管理DataWorks服务，则可授予其该权限。说明设置该权限后，RAM用户将拥有DataWorks较大的权限，可代理主账号管理产品相关内部功能（不包括购买相关功能）。	进入访问控制。授予RAM用户`AliyunDataWorksFullAccess`系统权限策略。	为RAM用户授权
允许RAM用户购买资源、开通服务	DataWorks中默认仅阿里云主账号可购买资源、开通服务（例如，购买DataWorks增值版本），如果您需要某RAM用户可执行该操作，则可授予其该权限。说明授权后，RAM用户可在费用中心（BSS）查看、支付及取消订单。	进入访问控制。授予RAM用户`AliyunBSSOrderAccess`系统权限策略。	为RAM用户授权
禁止RAM用户操作DataWorks	如果您需要禁止某用户进入管理控制台、进入DataWorks各模块界面、调用OpenAPI，则可授予其该权限。说明 DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员，并允许访问DataWorks管理控制台。	进入访问控制。创建自定义权限策略，策略内容请参考策略一：禁止RAM用户执行所有操作。找到目标用户，为其授予该自定义权限策略。	创建自定义权限策略为用户授权自定义权限策略
禁止RAM用户调用OpenAPI	DataWorks中默认具有DataWorks某模块权限的用户可调用相应模块对应的OpenAPI。如果您需要禁止某用户调用所有OpenAPI，则可授予其该权限。	进入访问控制。创建自定义权限策略，策略内容请参考策略二：禁止RAM用户调用OpenAPI。找到目标用户，为其授予该自定义权限策略。
禁止RAM用户进入DataWorks的各模块界面	如果您需要禁止某用户进入DataWorks的所有模块界面，则可授予其该权限。说明 DataWorks中默认阿里云主账号下所有RAM用户均为DataWorks的租户成员，允许访问全局模块，并且可访问已加入工作空间的空间模块。该策略仅禁止RAM用户访问DataWorks模块界面，但仍可调用其有权限的模块OpenAPI。	进入访问控制。创建自定义权限策略，策略内容请参考策略三：禁止RAM用户进入DataWorks各模块界面。找到目标用户，为其授予该自定义权限策略。

模块级：DataWorks管理控制台权限管控

模块级的DataWorks管理控制台权限管控，需通过访问控制的RAM权限策略实现，具体如下。


权限类别	权限说明	操作流程说明	参考文档
允许RAM用户管理工作空间及资源组	DataWorks中默认仅阿里云主账号可管理DataWorks资源及工作空间。例如，修改资源组及工作空间配置、删除资源组。如果您需要某RAM用户可管理资源组及工作空间，则可授予其该权限。	进入访问控制。创建自定义权限策略。说明资源组及工作空间的管理包含多种细分操作，不同操作对应的权限策略组成不同，实际使用时，请参考产品及控制台权限控制详情：RAM Policy创建权限策略。找到目标用户，为其授予该自定义权限策略。	创建自定义权限策略为用户授权自定义权限策略

模块级：DataWorks不同模块权限管控

模块级的DataWorks各模块权限管控，需通过DataWorks工作空间的成员管理实现，具体如下表。


权限类别	权限说明	操作流程
授予RAM用户空间角色	RAM用户需要加入某工作空间成为空间成员后，才可进行相关开发操作。您可通过授予RAM用户不同的空间角色，实现不同模块界面功能的权限管控。例如：授予RAM用户空间预设的开发角色，使其进入指定工作空间进行数据开发。例如，创建表、运行SQL。授予RAM用户空间预设的运维角色，使其可在工作空间执行任务发布、运维等相关操作。授予RAM用户自定义角色，使其仅拥有您自定义的权限。说明 DataWorks空间预设角色及自定义角色介绍，详情请参见空间级权限控制产品能力。	进入空间成员管理页面可选：自定义空间角色添加RAM用户为空间成员，并授予其空间预设角色或自定义角色
授予RAM用户全局角色	DataWorks中默认阿里云主账号下所有RAM用户均为其租户成员，允许访问但无法管理全局模块。如果您需要某RAM用户管理全局模块，实现不同场景的权限管控，则可授予其该权限。例如：授予RAM用户指定角色，实现仅该用户拥有指定模块的管理权限。授予RAM用户指定角色，禁止该用户访问指定模块。说明 DataWorks全局预设角色及自定义角色介绍，详情请参见全局级模块权限控制。	进入全局成员管理页面可选：自定义全局角色添加RAM用户为空间成员，并授予其全局预设角色或自定义角色

内容没看懂？不太想学习？想快速解决？有偿解决：联系专家

阿里云企业补贴进行中：马上申请

腾讯云限时活动1折起，即将结束：马上收藏

 同尘科技为腾讯云授权服务中心。

购买腾讯云产品享受折上折，更有现金返利:同意关联，立享优惠

转转请注明出处：https://www.yunxiaoer.com/171717.html

阿里云大数据开发治理平台 DataWorks最佳实践：为RAM用户授权指引-云淘科技

背景信息

权限管控体系介绍

产品级：DataWorks管理与操作权限管控

模块级：DataWorks管理控制台权限管控

模块级：DataWorks不同模块权限管控

联系我们

400-800-8888

阿里云大数据开发治理平台 DataWorks最佳实践：为RAM用户授权指引-云淘科技

背景信息

权限管控体系介绍

产品级：DataWorks管理与操作权限管控

模块级：DataWorks管理控制台权限管控

模块级：DataWorks不同模块权限管控

相关推荐

阿里云人工智能平台PAI云产品依赖与授权：DSW-云淘科技

阿里云人工智能平台PAI云产品依赖与授权：DSW-云淘科技

阿里云人工智能平台PAI云产品依赖与授权：Designer-云淘科技

阿里云人工智能平台PAI云产品依赖与授权：Designer-云淘科技

联系我们

400-800-8888