創建IAM用戶并授予DataArts Studio權限

如果您需要對您所擁有的DataArt Studio進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）。通過IAM，您可以：

• 根據企業的業務組織，在您的云帳號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用DataArts Studio資源。
• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。
• 將DataArts Studio資源委托給更專業、高效的其他云帳號或者云服務，這些帳號或者云服務可以根據權限進行代運維。

如果云帳號已經能滿足您的要求，不需要創建獨立的IAM用戶，您可以跳過本章節，不影響您使用DataArts Studio服務的其它功能。

本章節為您介紹對用戶授權的方法，操作流程如操作步驟所示。

背景信息

給用戶組授權之前，請您了解用戶組可以添加的DataArts Studio工作空間角色權限，并結合實際需求進行選擇。

約束與限制

• DAYU User系統角色為用戶提供了實例及工作空間和依賴服務的相關權限，具體工作空間內的業務操作權限由工作空間角色提供。
• IAM提供了以下兩種授權機制。注意，DataArts Studio僅支持其中的IAM角色方式，不支持IAM策略。

? IAM角色 ：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。傳統的IAM角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。

? IAM策略 ：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。

操作步驟

圖1 授權流程

步驟 1 創建用戶組并授權系統角色。

使用云賬號登錄統一身份認證服務IAM控制臺，創建用戶組，并授予DataArts Studio的系統角色，如“DAYU Administrator”或“DAYU User”。

創建用戶組并授權的具體操作，請參見《統一身份認證服務IAM用戶指南》中的“用戶組及授權>創建用戶組并授權”。

說明
配置用戶組的DataArts Studio權限時，直接在搜索框中輸入權限名“DAYU”進行搜索，然后勾選需要授予用戶組的權限，如“DAYU User”。
DataArts Studio部署時通過物理區域劃分，為項目級服務。授權時，“授權范圍方案”如果選擇“所有資源”，則該權限在所有區域項目中都生效；如果選擇“指定區域項目資源”，則該權限僅對此項目生效。IAM用戶授權完成后，訪問DataArts Studio時，需要先切換至授權區域。

步驟2 創建用戶并加入用戶組。在IAM控制臺創建用戶，并將其加入步驟1中創建的用戶組。
創建用戶并加入用戶組的具體操作，請參見《統一身份認證服務IAM用戶指南》中的“IAM用戶> 創建IAM用戶”。

說明
僅當創建IAM用戶時的訪問方式勾選“編程訪問”后，此IAM用戶才能通過認證鑒權，從而使用API、SDK等方式訪問DataArts Studio。

步驟 3 為“DAYU User”系統角色用戶自定義工作空間角色，并將其添加到工作空間成員、配置角色。

對于“DAYU User”權限的IAM用戶而言，DataArts Studio工作空間角色決定了其在工作空間內的權限，當前有管理員、開發者、部署者、運維者和訪客這五種預置角色可被分配。如果預置角色可以滿足您的使用需求，則無需自定義工作空間角色，直接將用戶添加到工作空間成員、配置預置角色即可；否則，請您創建自定義角色，再將用戶添加到工作空間成員、配置自定義角色。自定義工作空間角色的具體操作請參見（可選）自定義工作空間角色，添加工作空間成員并配置角色的具體操作請參見 添加工作空間成員和角色。

角色的權限說明請參見產品介紹中的“DataArts Studio權限列表”章節。

步驟 4 用戶登錄并驗證權限

新創建的用戶登錄控制臺，切換至授權區域，驗證權限，例如：

• 在“服務列表”中選擇數據治理中心，進入DataArts Studio實例卡片。從實例卡片進入控制臺首頁后，確認能否正常查看工作空間列表情況。
• 進入已添加當前用戶的工作空間業務模塊（例如管理中心），查看能否根據所配置的工作空間角色，正常進行業務操作。