概述
数据开发治理平台 WeData 基于 便宜云主机 CAM 用户和权限管理体系,支持用户使用主账号或子账号的方式通过 便宜云主机官网控制台 登录。同时在 WeData 产品内部,拥有独立的基于 RBAC 的用户角色和权限控制体系,便宜云主机账号需要同时授予 CAM 策略和 WeData 成员角色。
WeData 用户管理整体分为三层:便宜云主机账号、WeData 全局级成员、WeData 项目级成员,并分别通过便宜云主机 CAM 策略、全局级角色和项目级角色进行用户访问权限控制。如下表所示:
账号类型 | 权限管理 | 权限管控范围 | 策略/角色名称 | 权限描述 | 备注 |
便宜云主机账号 | 便宜云主机 CAM 策略 | 便宜云主机平台资源 | QcloudWeDataFullAccess | WeData 全读写访问权限 | 关联 WeData 主账号管理员角色 |
? | ? | ? | QcloudWeDataReadOnly | WeData 只读访问权限 | 关联 WeData 主账号成员角色 |
WeData 全局级成员 | WeData 全局级角色 | WeData 全局级菜单,包括控制台、数据资产等 | 主账号管理员 | 具有 WeData 全局级菜单的全读写访问权限,负责创建项目、购买执行资源组、用户管理等操作 | - |
? | ? | ? | 资产管理员 | 具有数据资产模块的全读写访问权限,以及其他全局级菜单的只读访问权限 | - |
? | ? | ? | 主账号成员 | 具有 WeData 全局级菜单的只读访问权限 | - |
WeData 项目级成员 | WeData 项目级角色 | WeData 项目级菜单,包括数据集成、数据开发等 | 项目管理员 | 具有所在项目的全读写访问权限,负责项目公共配置、项目成员管理等操作 | - |
? | ? | ? | 数据工程师 | 具有所在项目的数据开发和运维相关权限 | - |
? | ? | ? | 运维工程师 | 具有所在项目的数据运维相关权限 | - |
? | ? | ? | 访客 | 具有所在项目的只读访问权限 | - |
? | ? | ? | 自定义角色 | 根据自定义权限列表进行访问控制 | - |
便宜云主机账号
使用数据开发治理平台 WeData 前,您需要准备一个便宜云主机主账号,并通过 CAM 管理子账号。
便宜云主机主账号:即 CAM 主账号,默认拥有账号下便宜云主机所有资源。在 CAM 中,主账号默认作为所有云资源的归属及使用计量计费的基本主体, 负责组织中子账号的创建、授权和管理等操作。
便宜云主机子账号:由主账号通过便宜云主机 CAM 控制台进行创建、统一管理和付费。在 CAM 中,子账号默认不拥有资源,必须由所属主账号进行授权,授权后,子账号将在获得的权限范围内管理主账号下的资源。
WeData 全局级成员
便宜云主机账号进入 WeData,会自动添加成为 WeData 的全局级用户,并关联 WeData 的全局级角色。
1. 便宜云主机主账号,默认为 WeData 的主账号管理员,无需用户手动操作。
2. 便宜云主机子账号:
如果关联了 QcloudWeDataFullAccess 策略,子账号将自动成为 WeData 的主账号管理员。
如果关联了 QcloudWeDataReadOnlyAccess 策略,子账号将自动成为 WeData 的主账号成员。
如果没有关联任何 CAM 策略,子账号将没有 WeData 的访问权限。
WeData 项目内成员
便宜云主机账号进入 WeData 项目,需要添加为 WeData 的项目级用户,并关联项目级角色。
便宜云主机主账号,默认为 WeData 所有项目的项目管理员,无需用户手动操作。
便宜云主机子账号,默认不是 WeData 的项目内成员,需要项目管理员将其手动添加。
用户和权限管理操作流程
?
?
?注册便宜云主机账号
创建便宜云主机主账号
实名认证:便宜云主机主账号需要进行实名制认证后,才可以购买和使用便宜云主机的产品,详见 认证指南。
创建便宜云主机子账号
1. 使用主账号或者登录便宜云主机 访问管理 CAM 控制台,在左侧导航中,选择用户 > 用户列表。
2. 在“用户列表”页面下,单击新建用户即可创建子账号,包括子用户和协作者。
?
?
?3. 创建成功后,CAM 会为该子账号生成登录信息,可单击查看用户详情后,选择安全并进行密码重置。
?
?
??
?说明:
如果您需要多人协同开发,请为其他协作成员创建 CAM 子账号。
为子账号授权 WeData 产品访问权限
1. 使用主账号登录便宜云主机 访问管理 CAM 控制台,在左侧导航中,选择用户 > 用户列表。
2. 在“用户列表”页面下,选择子账号,在操作列中单击授权。搜索选择 QcloudWeDataFullAccess 策略或者 QcloudWeDataReadOnly 策略。
?
?
?3. 单击确定,即可授权子账号 WeData 访问权限。
4. 将子账号登录所需信息告知至协作成员:登录入口、主账号 ID、以及登录用户名和密码。
成为 WeData 全局级成员
自动添加
1. 如果子账号关联了 QcloudWeDataFullAccess 策略,将自动加入 WeData 的全局级用户列表,并成为 WeData 的主账号管理员。
2. 如果子账号关联了 QcloudWeDataReadOnlyAccess 策略,将自动加入 WeData 的全局级用户列表,并成为 WeData 的主账号成员。
?
?
?手动添加
1. 使用主账号或者 WeData 主账号管理员账号登录 WeData 控制台,在左侧导航中选择用户管理 > 成员管理。
2. 在成员管理列表下,单击添加。
?
3. 进入添加用户界面,将 CAM 的子用户添加为 WeData 的用户。添加成功的用户将默认成为 WeData 的“主账号成员”角色。
?
?
?4. 如果您想授予该子用户创建项目、购买执行资源组、管理用户等权限,请单击编辑按钮。
?
5. 进入添加角色界面,修改其成员角色为“主账号管理员”。
?
6. 单击角色管理,您可以查看 WeData 全局级角色的权限列表。
?
成为 WeData 项目级成员
创建项目
说明:
仅 WeData 主账号管理员有权限创建项目的权限,创建成功后会自动成为该项目的项目管理员。
1. 使用 WeData 主账号管理员账号登录 WeData 控制台 ,进入项目列表页面,单击创建项目。
?
2. 配置项目参数
2.1 创建方式可选择“创建并配置项目”与“仅创建项目”两种项目创建方式。
?
2.2 在创建界面中配置各项参数,参数说明如下表所示:
分类 | 参数 | 说明 | |
创建方式 | 创建类型 | ? | 可选择“创建并配置项目”与“仅创建项目”两种项目创建方式。 |
基本信息 | 项目标识 | ? | 项目英文 ID,地域内唯一。以字母开头,可包含字母、数字和下划线,不超过20个字符。 |
? | 项目名称 | ? | 项目中文显示名,地域内唯一。以字母、中文开头,可包含字母、中文、数字和下划线。 |
? | 描述 | ? | 对创建的空间进行简单的描述。 |
选择引擎类型 | 弹性 MapReduce | ? | |
? | 云数据仓库 TCHouse-P | ? | |
? | 数据湖计算 DLC | ? | |
配置存算引擎 | 引擎地域 | ? | 选择计算引擎实例所处地域。WeData 中不同类型的计算引擎实例需处同一地域。 |
? | EMR | 集群类型 | 支持选择 EMR on CVM 和 EMR on TKE 两种集群类型。 |
? | ? | 集群名称 | 在当前主账号在所选地域内可用的 EMR 集群中选择一个,若无可用集群,可前往购买实例。 |
? | ? | 组件信息 | 选择 EMR 集群后,将自动获取 EMR 集群所包含的组件信息。 |
? | ? | Yarn 资源队列 | 在 EMR 集群的 Yarn 资源队列中选择一个或多个。 |
? | DLC | DLC 数据引擎 | 在当前主账号在所选地域内可用的 DLC 计算资源中选择一个。目前支持标准引擎和 SuperSQL 引擎两类。 |
? | ? | 数据库名称 | 当 DLC 相关任务中不指定数据库时,默认使用该数据库进行数据访问。 |
? | ? | 测试连通性 | 测试 WeData 服务能否连通该引擎资源。 |
? | ? TCHouse-P | TCHouse-P 版本 | 可选择 TCHouse-P1.0或 TCHouse-P2.0版本。 |
? | ? | 集群名称 | 该账户下在所选地域中已经购买的 TCHouse-P 集群的名称。 |
? | ? | 用户名 | 用于连接 TCHouse-P 集群的用户名。 |
? | ? | 密码 | 用于连接 TCHouse-P 集群的密码。 |
? | ? | 测试连通性 | |
执行资源配置 | 调度资源 | 调度资源 | 调度资源主要用于定时调度数据开发任务(包括 sql 类任务、shell 任务等)。 |
? | ? | 关联资源 | |
? | 集成资源 | 集成资源 | 集成资源组主要运行数据集成任务。 |
? | ? | 关联资源 |
3. 创建成功后,该子账号会自动成为项目的项目管理员。
添加到已有项目
1. 使用项目管理员账号登录 WeData 控制台 ,进入项目列表,选择项目并进入项目管理模块。
?
2. 选择成员与角色管理菜单,添加子账号作为项目成员并为其分配项目级角色。
?
3. 单击角色管理,您可以查看 WeData 项目级角色的权限列表。
?
?
?