本文为您介绍项目管理员的权限和职责。默认创建工作空间的阿里云账号是工作空间所有者,拥有最高权限。

如果工作空间创建完成后,项目所有者不想自行管理,可以指定其子账号为项目管理员角色。

创建工作空间

工作空间创建完成后,工作空间责任人为阿里云主账号(子账号代主账号创建的工作空间,其责任人也为阿里云主账号),创建工作空间的操作请参见创建工作空间
说明
  • 子账号需要有AliyunDataWorksFullAccess权限时,才可以代主账号创建工作空间。详情可参考文档:给RAM子账号授权DataWorks相关管理权限
  • 空间管理员需要保证工作空间生产环境的稳定、控制工作空间成员中的角色权限(权限最小化,够用即可),并控制表的权限。

添加工作空间成员

空间管理员有权限添加RAM子账号为工作空间成员,并在相应的工作空间为子账号授权相应的角色。每个角色对应的权限点,请参见附录:预设角色权限列表(空间级)
说明 建议不要同时授予一个子账号开发角色和运维角色。

控制相关权限

DataWorks角色分为预设角色与DataWorks空间级别自定义角色,每个角色拥有的权限不同。您可以在添加子账号进入工作空间时,为子账号授予具体对应的角色,授权后,该用户将有该角色拥有的权限,详情可参考:角色及成员管理:空间级。每个角色拥有的界面操作权限不同,您可以参考附录:预设角色权限列表(空间级)了解详情。

当您使用MaxCompute引擎时,DataWorks预设角色MaxCompute开发引擎(开发项目)存在一定的权限映射,即授权预设角色后 ,该用户拥有对应的引擎开发项目的资源操作权限。详情可参考文档:用户、角色与权限概述

为保证生产环境的稳定性和安全性,不允许个人账号拥有生产表的删除、修改等权限,且不允许成员随意提交任务。

功能权限要求:
  • 数据集成:添加数据源、批量上云等功能,仅空间所有者和空间管理员角色可以操作。
  • 计算资源(MaxCompute管家):空间管理员设置DataWorks的资源组分配后,运维人员即可通过MaxCompute管家查看系统状态、资源组分配和任务监控。
  • 运维中心:仅运维角色和空间管理员角色有运维中心更高的操作权限。
  • 数据开发:仅开发角色和空间管理员角色可以在数据开发进行具体的开发工作。
在设置工作空间的级别时,您需要首先选择设置调度引擎执行任务时,使用阿里云主账号还是阿里云子账号执行任务。如果设置有误,权限体系会被破坏。
  • 阿里云主账号:执行SQL使用的是主账号的AccessKey,可以操作当前区域下所有工作空间的表,请谨慎设置。
  • 阿里云子账号:执行SQL使用的是子账号的AccessKey,权限会受到严格控制,无法直接操作生产表。