更新时间:2023-06-14 GMT+08:00

DataArts Studio权限管理

如果您需要对的DataArts Studio资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务Identity and Access Management,简称IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。

通过IAM,您可以在帐号中给员工创建IAM用户,并授权来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有DataArts Studio的使用权限,但是不希望他们拥有删除工作空间等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用DataArts Studio服务,但是不允许删除工作空间的权限,控制他们对DataArts Studio资源的使用范围。

DataArts Studio权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

DataArts Studio部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DataArts Studio时,需要先切换至授权区域。

  • IAM角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。IAM角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。

    DataArts Studio基于IAM角色的权限控制,提供了基于工作空间角色授权的能力,这是一种更加灵活的授权方式,可以精确到具体的操作。

    表1所示,DataArts Studio的IAM系统角色包括DAYU Administrator和DAYU User;工作空间角色是基于IAM角色DAYU User进一步授予的,DataArts Studio权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系,您可以参照这些权限列表选择合适的角色。
    表1 DataArts Studio系统角色

    系统角色名称

    描述

    类别

    DAYU Administrator

    数据治理中心DataArts Studio管理员权限,拥有对DataArts Studio的所有执行权限。具备对所有工作空间的所有权限。

    说明:

    Tenant Administrator具有除统一身份认证服务外,其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。

    系统角色

    DAYU User

    数据治理中心DataArts Studio普通用户,拥有被授予的工作空间的指定角色的权限。

    赋予DAYU User策略的用户具有什么权限,依赖于该用户在工作空间中被赋予什么角色。工作空间有管理员、开发者、运维者和访客四种角色,每种角色的介绍如下,具体操作权限请参见DataArts Studio权限列表
    • 管理员:具备DataArts Studio管理员权限,拥有工作空间内所有操作的执行权限,建议将项目负责人、开发责任人、运维管理员设置为管理员角色。
    • 开发者:具备DataArts Studio开发权限,拥有创建、管理工作项的相关权限,但无法对工作空间、集群、审核人等进行操作,建议将任务开发、任务处理的用户设置为开发者。
    • 运维者:具备DataArts Studio运维权限,拥有运维调度等操作的执行权限,但无法更改工作项及配置,建议将运维管理、状态监控的用户设置为运维者。
    • 访客:具备DataArts Studio只读权限,只允许对DataArts Studio进行数据读取,无法操作、更改工作项及配置,建议将只查看空间内容、不进行操作的用户设置为访客。

    系统角色

用户通过工作空间角色与权限进行关联,可满足不同的授权需求。DataArts Studio角色的授权方法,请参见《数据治理中心 用户指南》中的“准备工作 > 授权用户使用DataArts Studio