DataArts Studio权限管理
如果您需要对的DataArts Studio资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。
通过IAM,您可以在帐号中给员工创建IAM用户,并授权来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有DataArts Studio的使用权限,但是不希望他们拥有删除工作空间等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用DataArts Studio服务,但是不允许删除工作空间的权限,控制他们对DataArts Studio资源的使用范围。
DataArts Studio权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
DataArts Studio部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DataArts Studio时,需要先切换至授权区域。
- IAM角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。IAM角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
DataArts Studio基于IAM角色的权限控制,提供了基于工作空间角色授权的能力,这是一种更加灵活的授权方式,可以精确到具体的操作。
如表1所示,DataArts Studio的IAM系统角色包括DAYU Administrator和DAYU User;工作空间角色是基于IAM角色DAYU User进一步授予的,DataArts Studio权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系,您可以参照这些权限列表选择合适的角色。表1 DataArts Studio系统角色 系统角色名称
描述
类别
DAYU Administrator
数据治理中心DataArts Studio管理员权限,拥有对DataArts Studio的所有执行权限。具备对所有工作空间的所有权限。
说明:Tenant Administrator具有除统一身份认证服务外,其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。
系统角色
DAYU User
数据治理中心DataArts Studio普通用户,拥有被授予的工作空间的指定角色的权限。
赋予DAYU User策略的用户具有什么权限,依赖于该用户在工作空间中被赋予什么角色。工作空间有管理员、开发者、运维者和访客四种角色,每种角色的介绍如下,具体操作权限请参见DataArts Studio权限列表。- 管理员:具备DataArts Studio管理员权限,拥有工作空间内所有操作的执行权限,建议将项目负责人、开发责任人、运维管理员设置为管理员角色。
- 开发者:具备DataArts Studio开发权限,拥有创建、管理工作项的相关权限,但无法对工作空间、集群、审核人等进行操作,建议将任务开发、任务处理的用户设置为开发者。
- 运维者:具备DataArts Studio运维权限,拥有运维调度等操作的执行权限,但无法更改工作项及配置,建议将运维管理、状态监控的用户设置为运维者。
- 访客:具备DataArts Studio只读权限,只允许对DataArts Studio进行数据读取,无法操作、更改工作项及配置,建议将只查看空间内容、不进行操作的用户设置为访客。
系统角色
用户通过工作空间角色与权限进行关联,可满足不同的授权需求。DataArts Studio角色的授权方法,请参见《数据治理中心 用户指南》中的“准备工作 > 授权用户使用DataArts Studio”。