DataWorks百问百答37:DataWorks-MaxCompute权限体系有哪些混淆点?-阿里云开发者社区

开发者社区> DataWorks> 正文

DataWorks百问百答37:DataWorks-MaxCompute权限体系有哪些混淆点?

简介: DataWorks-MaxCompute权限体系混淆点分析

背景

     
DataWorks是大数据引擎上层的一个数据开发、生产、治理平台,有自己一套完善的权限体系,但由于下层对接的引擎较多(MaxCompute、EMR、Blink等),因此用户常常对DataWorks权限、引擎权限产生混淆。

常见问题集锦

  • DataWorks开发角色好像可以读写所有表,这岂不是很危险?
  • [工作空间管理-权限列表]中的权限和引擎权限有什么关系?里面的表权限是针对所有引擎的吗?
  • [工作空间管理-成员管理]与[工作空间管理-MaxCompute高级配置-自定义角色]中的角色到底有什么区别?
  • ………………

说明

权限类型区分

DataWorks自身有一套权限体系,即[工作空间管理-权限列表]中所描述的内容。
image.png
这套权限体系和引擎的权限体系有什么区别?
很简单:[工作空间管理-权限列表]描述的是DataWorks本身功能的功能,如:XX用户(角色)可以创建数据源、新建节点、提交/编辑/发布节点、运维中心冻结/暂停/重跑等功能;而引擎权限描述的权限点则是对引擎的操作,如:XX用户(角色)可以读写某表(table_1)、设置引擎支持的数据类型、是否允许全表扫描等(可参考MaxCompute用户与权限管理)。

DataWorks权限与引擎权限的联系

【常见问题一】
  既然DataWorks权限、引擎权限是有区别的,那为什么我将RAM子账号加入到[工作空间管理-成员管理-开发角色]中,就能访问MaxCompute的表了?
  有如下几点特性来进行说明:
(1)DataWorks、MaxCompute内的权限主体(执行任务的身份)都是阿里云主/子账号。
(2)DataWorks本身的角色与MaxCompute之间的角色存在联动关系。
       当一个阿里云RAM子账号被加入至DataWorks空间时,就会自动被加入至MaxCompute项目中。
       例如:将某个RAM子账号(RAM_A)加入至DataWorks开发角色,则该子账号会被同时加入至该空间所绑定得到MaxCompute项目role_project_dev、role_project_scheduler两个Role中(这两个Role有在MaxCompute项目内启动任务、读写数据的权限),因此RAM_A即能进入DataWorks创建节点,也能通过节点运行代码读写MaxCompute上的表。
image.png
image.png
【常见问题二】
  在开发环境、生产环境究竟运行任务的是谁?需要如何保证权限足够且合理?
(1)标准模式(一个DataWorks空间对应两个MaxCompute项目)
    ①开发环境:执行任务的身份为“任务执行者”,即:谁运行任务,身份就是谁。
     在DataStudio、开发环境运维中心执行的任务将会下发到MaxCompute开发环境项目,同时,能够在开发环境运行任务的账号,也被自动加入了对应的MaxCompute Role,拥有了引擎相关权限,因此不必担心任务运行失败。
image.png
    ②生产环境:执行任务的身份可选择为主账号或固定的子账号;要注意,生产环境的MaxCompute项目除了主账号,没有自动加入过任何RAM子账号,因此如选择了子账号,页面会进行提醒并执行授权:
image.png
(2)简单模式(一个DataWorks空间对应一个MaxCompute项目)
    与标准模式不同,简单模式提交即调度(无需发布)。
    目前提供了两种访问身份模式:阿里云主账号、任务责任人(谁创建任务谁就为执行者);如选择了任务责任人,则要保证对应任务的责任人角色权限足够,并避免子账号被删除、禁用等情况。
image.png
应尽量避免:
①子账号角色变更为无权执行任务的角色,如:“访客”、“运维”、“部署”“安全管理员”(这些角色在MaxCompute内对应的Role没有执行任务、读写数据的权限)。此时执行任务将提醒权限不够:
image.png
    ②子账号被从DataWorks空间内移除,则会报错用户不存在与项目内:
image.png

DataWorks百问百答历史记录 请点击这里查看>>

更多DataWorks技术和产品信息,欢迎加入【DataWorks钉钉交流群】

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
DataWorks
使用钉钉扫一扫加入圈子
+ 订阅

DataWorks作为飞天大数据平台操作系统,对接各种大数据计算引擎,以all in one box的方式提供专业高效、安全可靠的全域智能大数据平台,高效率完成数据全链路研发流程,建设企业数据治理体系。 从2009年飞天大数据平台写下第一行代码开始,DataWorks历经10年发展,形成一套成熟的产品功能体系,满足企业数据中台搭建需求。

官方博客
DataWorks产品官网