全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
E-MapReduce

OSS 数据权限隔离

更新时间:2017-06-07 13:26:11

操作步骤

E-MapReduce 支持使用 RAM 来隔离不同子账号的数据。操作步骤如下所示:

  1. 登录阿里云 RAM 的管理控制台

  2. 在RAM中创建子账号,具体流程请参见如何在 RAM 中创建子账号

  3. 单击阿里云 RAM 的管理控制台页面左侧的授权策略管理,进入授权策略管理界面。

  4. 单击自定义授权策略

  5. 单击页面右上方的新建授权策略按钮,即进入创建授权策略界面,然后按照提示步骤进行创建。您需要多少套不同的权限控制,就创建多少个策略。

    假设您需要以下 2 套数据控制策略:

    • 测试环境, bucketname:test-bucket。其所对应的完整策略如下:

      1. {
      2. "Version": "1",
      3. "Statement": [
      4. {
      5. "Effect": "Allow",
      6. "Action": [
      7. "oss:ListBuckets"
      8. ],
      9. "Resource": [
      10. "acs:oss:*:*:*"
      11. ]
      12. },
      13. {
      14. "Effect": "Allow",
      15. "Action": [
      16. "oss:Listobjects",
      17. "oss:GetObject",
      18. "oss:PutObject",
      19. "oss:DeleteObject"
      20. ],
      21. "Resource": [
      22. "acs:oss:*:*:test-bucket",
      23. "acs:oss:*:*:test-bucket/*"
      24. ]
      25. }
      26. ]
      27. }
    • 生产环境, bucketname:prod-bucket。其所对应的完整策略如下:

      1. {
      2. "Version": "1",
      3. "Statement": [
      4. {
      5. "Effect": "Allow",
      6. "Action": [
      7. "oss:ListBuckets"
      8. ],
      9. "Resource": [
      10. "acs:oss:*:*:*"
      11. ]
      12. },
      13. {
      14. "Effect": "Allow",
      15. "Action": [
      16. "oss:Listobjects",
      17. "oss:GetObject",
      18. "oss:PutObject"
      19. ],
      20. "Resource": [
      21. "acs:oss:*:*:prod-bucket",
      22. "acs:oss:*:*:prod-bucket/*"
      23. ]
      24. }
      25. ]
      26. }
  6. 单击阿里云 RAM 的管理控制台页面左侧的用户管理

  7. 找到需要将策略赋给的子账号条目,单击其右侧的管理按钮,进入用户管理页面。

  8. 单击页面左侧的用户授权策略

  9. 单击右上角的编辑授权策略按钮,进入策略授权页面。

  10. 选择并添加授权策略。

  11. 单击确定,完成对子账号的策略授权。

  12. 单击用户管理页面左侧的用户详情,进入子账号的用户详情页面。

  13. 在 Web 控制台登录管理栏中,单击启用控制台登录,以打开子账号的登录控制台的权限。

完成并使用

完成以上所有步骤以后,使用对应的子账号登录 E-MapReduce,会有以下限制:

  • 在创建集群、创建作业和创建执行计划的 OSS 选择界面,可以看到所有的 bucket,但是只能进入被授权的 bucket。

  • 只能看到被授权的 bucket 下的内容,无法看到其他 bucket 内的内容。

  • 作业中只能读写被授权的 bucket,读写未被授权的 bucket 会报错。

本文导读目录