更新时间:2024-03-21 GMT+08:00
分享

(可选)自定义工作空间角色

对于DAYU User账号权限的IAM用户而言,DataArts Studio工作空间角色决定了其在工作空间内的权限,当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配,角色的权限说明请参见权限列表章节。

如果预置角色可以满足您的使用需求,则您可以跳过本章节;否则,请您按照本章节描述创建自定义角色。

背景信息

  • DAYU AdministratorTenant Administrator账号可以在工作空间中创建自定义角色。
  • 如何创建并通过自定义工作空间角色精细化授权IAM用户,可参考如何授权其他用户使用DataArts Studio

约束与限制

  • 由于鉴权缓存机制的限制,自定义角色的权限发生变更后,绑定该角色的工作空间成员权限不会直接生效。需要绑定该角色的工作空间成员暂停访问DataArts Studio控制台并等待6分钟后,才能使该工作空间成员的权限变更生效。
  • 对于工作空间管理员角色,即使自定义角色与其权限点相同,也无法进行某些需要校验管理员角色的操作。例如全量导出数据服务API等。

操作步骤

  1. 参考访问DataArts Studio实例控制台,以DAYU AdministratorTenant Administrator账号登录DataArts Studio管理控制台。
  2. 在旧版首页的“角色管理”或新版首页的“实例配置>角色管理”页签,单击“新建”,弹出“创建自定义角色”对话框。

    • 角色名称:标识自定义角色的唯一标识。建议您按照该角色的使用场景等进行命名,避免无意义的描述。
    • 角色描述:补充对该角色的相关说明,如与预置角色的关键权限差异等。
    • 角色类型:由于简单模式与企业模式下角色权限有所差异,因此需要根据该角色的使用场景来选择角色类型。企业模式的相关介绍请参见企业模式概述
      • 当该角色在简单模式空间下使用时,选择为“开发&生产模式,自定义角色”。
      • 当该角色在企业模式空间下的开发环境下使用时,选择为“开发模式,自定义角色”。
      • 当该角色在企业模式空间下的生产环境下使用时,选择为“生产模式,自定义角色”。
    • 复用预置角色:如果您只需对预置角色权限进行微调即可满足需求,则可以使用“复用预置角色”功能,直接在预置角色权限的基础上进行调整;否则,您可以在空白权限的基础上勾选该角色所需权限。

      创建/编辑角色时,如果您当前账号已具备DAYU AdministratorTenant Administrator权限,但系统仍然返回报错“您无权限进行该操作”,这可能是由于网络限制导致的,建议您切换到其他网络后重试。

    图1 创建自定义角色

  3. 自定义角色的角色名称、类型、权限等配置完成后,单击“确定”即可新增自定义角色。
  4. 自定义角色完成后,请您参考添加工作空间成员和角色,将IAM用户设置为自定义角色。

示例一

某数据运营工程师通过DataArts Studio进行数据服务工作,仅需要数据服务组件的权限。管理员如果直接赋予该数据运营工程师“开发者”的预置角色,则会出现其他组件权限过大的风险。

为了解决此问题,项目管理员可以创建一个基于“开发者”预置角色的自定义角色“Developer_DataService”,在“开发者”角色权限的基础上为其去除其他组件的增删改及操作权限,并赋予该数据运营工程师此角色,既能满足实际业务使用,也避免了权限过大的风险。

  1. 参考访问DataArts Studio实例控制台,以DAYU AdministratorTenant Administrator账号登录DataArts Studio管理控制台。
  2. 在角色管理页面,单击“新建”,弹出“创建自定义角色”对话框。

    • 角色名称:标识自定义角色的唯一标识,此处填写为“Developer_DataService”。
    • 角色描述:补充对该角色的相关说明,此处填写为“基于开发者角色,仅保留数据服务权限”。
    • 角色类型:该角色仅在简单模式空间下使用,选择为“开发&生产模式,自定义角色”。
    • 复用预置角色:选择“开发者”,然后去勾选其他组件的新增、删除、操作、编辑权限,仅为该角色保留数据服务组件的权限和其他组件的查看权限。
    图2 创建自定义角色Developer_DataService

  3. 配置完成后,单击“确定”即可新增自定义角色。
  4. 自定义角色完成后,请您参考添加工作空间成员和角色,将数据运营工程师设置为自定义角色“Developer_DataService”。

示例二

某项目数据开发工程师通过DataArts Studio进行数据开发工作,被项目管理员赋予了“开发者”的预置角色。但该数据开发工程师还需要修改数据架构的配置中心的DDL模板用于数据开发,而“开发者”的预置角色不具备该权限。管理员如果直接赋予该数据开发工程师“管理员”的预置角色,则会出现权限过大的风险。

为了解决此问题,项目管理员可以创建一个基于“开发者”预置角色的自定义角色“Developer_DDL”,在“开发者”角色权限的基础上为其新增编辑配置中心的权限,并赋予该数据开发工程师此角色,既能满足实际业务使用,也避免了权限过大的风险。

  1. 参考访问DataArts Studio实例控制台,以DAYU AdministratorTenant Administrator账号登录DataArts Studio管理控制台。
  2. 在角色管理页面,单击“新建”,弹出“创建自定义角色”对话框。

    • 角色名称:标识自定义角色的唯一标识,此处填写为“Developer_DDL”。
    • 角色描述:补充对该角色的相关说明,此处填写为“基于开发者角色,新增编辑配置中心权限”。
    • 角色类型:该角色仅在简单模式空间下使用,选择为“开发&生产模式,自定义角色”。
    • 复用预置角色:选择“开发者”,然后勾选“数据架构 > 配置中心 >编辑”,为该角色授予编辑配置中心的权限。
    图3 创建自定义角色Developer_DDL

  3. 配置完成后,单击“确定”即可新增自定义角色。
  4. 自定义角色完成后,请您参考添加工作空间成员和角色,将数据开发工程师设置为自定义角色“Developer_DDL”。

相关文档