创建IAM用户并授予DataArts Studio权限

如果您需要对您所拥有的DataArts Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以：

根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。
根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。
将DataArts Studio资源委托给更专业、高效的其他华为账号或者云服务，这些账号或者云服务可以根据权限进行代运维。

如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。

本章节为您介绍用户授权的方法，操作流程如操作步骤所示。

背景信息

给用户组授权之前，请您了解DataArts Studio的权限体系，并结合实际需求选择对应的权限。关于DataArts Studio权限的详细描述，请参见DataArts Studio权限管理。
图1 权限体系
若您需要对除DataArts Studio之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。

约束与限制

DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。
IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。
- IAM角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
- IAM策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

操作步骤

图2 授权流程

创建用户组并授权系统角色。

使用华为账号登录统一身份认证服务IAM控制台，创建用户组，并授予DataArts Studio的系统角色，如“DAYU Administrator”或“DAYU User”。

创建用户组并授权的具体操作，请参见创建用户组并授权。
- 配置用户组的DataArts Studio权限时，直接在搜索框中输入权限名“DAYU”进行搜索，然后勾选需要授予用户组的权限，如“DAYU User”。
- DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“授权范围方案”如果选择“所有资源”，则该权限在所有区域项目中都生效；如果选择“指定区域项目资源”，则该权限仅对此项目生效。IAM用户授权完成后，访问DataArts Studio时，需要先切换至授权区域。
创建用户并加入用户组。

在IAM控制台创建用户，并将其加入步骤1中创建的用户组。

创建用户并加入用户组的具体操作，请参见创建用户并加入用户组。

仅当创建IAM用户时的访问方式勾选“编程访问”后，此IAM用户才能通过认证鉴权，从而使用API、SDK等方式访问DataArts Studio。
为“DAYU User”系统角色用户自定义工作空间角色，并将其添加到工作空间成员、配置角色。

对于“DAYU User”权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这五种预置角色可被分配。添加工作空间成员并配置角色的具体操作请参见添加工作空间成员和角色。

角色的权限说明请参见权限列表章节。
用户登录并验证权限

新创建的用户登录控制台，切换至授权区域，验证权限，例如：
- 在“服务列表”中选择数据治理中心，进入DataArts Studio实例卡片。从实例卡片进入控制台首页后，确认能否正常查看工作空间列表情况。
- 进入已添加当前用户的工作空间业务模块（例如管理中心），查看能否根据所配置的工作空间角色，正常进行业务操作。