创建IAM用户并授予DataArts Studio权限

如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以：

• 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。
• 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。
• 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。

如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。

本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。

背景信息

给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。

约束与限制

• DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。
• IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。

− IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。

− IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

操作步骤

图1 授权流程

步骤 1 创建用户组并授权系统角色。

使用云账号登录统一身份认证服务IAM控制台，创建用户组，并授予DataArts Studio的系统角色，如“DAYU Administrator”或“DAYU User”。

创建用户组并授权的具体操作，请参见《统一身份认证服务IAM用户指南》中的“用户组及授权>创建用户组并授权”。

说明
配置用户组的DataArts Studio权限时，直接在搜索框中输入权限名“DAYU”进行搜索，然后勾选需要授予用户组的权限，如“DAYU User”。
DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“授权范围方案”如果选择“所有资源”，则该权限在所有区域项目中都生效；如果选择“指定区域项目资源”，则该权限仅对此项目生效。IAM用户授权完成后，访问DataArts Studio时，需要先切换至授权区域。

步骤2 创建用户并加入用户组。在IAM控制台创建用户，并将其加入步骤1中创建的用户组。
创建用户并加入用户组的具体操作，请参见《统一身份认证服务IAM用户指南》中的“IAM用户> 创建IAM用户”。

说明
仅当创建IAM用户时的访问方式勾选“编程访问”后，此IAM用户才能通过认证鉴权，从而使用API、SDK等方式访问DataArts Studio。

步骤 3 为“DAYU User”系统角色用户自定义工作空间角色，并将其添加到工作空间成员、配置角色。

对于“DAYU User”权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这五种预置角色可被分配。如果预置角色可以满足您的使用需求，则无需自定义工作空间角色，直接将用户添加到工作空间成员、配置预置角色即可；否则，请您创建自定义角色，再将用户添加到工作空间成员、配置自定义角色。自定义工作空间角色的具体操作请参见（可选）自定义工作空间角色，添加工作空间成员并配置角色的具体操作请参见 添加工作空间成员和角色。

角色的权限说明请参见产品介绍中的“DataArts Studio权限列表”章节。

步骤 4 用户登录并验证权限

新创建的用户登录控制台，切换至授权区域，验证权限，例如：

• 在“服务列表”中选择数据治理中心，进入DataArts Studio实例卡片。从实例卡片进入控制台首页后，确认能否正常查看工作空间列表情况。
• 进入已添加当前用户的工作空间业务模块（例如管理中心），查看能否根据所配置的工作空间角色，正常进行业务操作。