通过阿里云账号开通DLA服务后,如果您的组织里有多个用户需要使用DLA服务,这些用户只能共享使用您的阿里云账号AccessKey。您的AccessKey存在泄漏的风险,且您无法控制用户的操作权限。此时您可以创建RAM账号,并授予RAM账号对应的操作权限,让您的用户通过RAM账号来访问或管理DLA服务。
权限策略
权限策略分为系统策略和自定义策略。
- 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。云原生数据湖分析DLA使用的系统策略有:
- AliyunDLAFullAccess:管理DLA的权限,包括对DLA中所有资源的所有操作权限。
- AliyunDLADeveloperAccess:开发者权限,与AliyunDLAFullAccess策略相比,不授予虚拟集群的创建、修改、释放等操作权限。
- AliyunDLAReadOnlyAccess:DLA资源只读访问的权限,支持查看虚拟集群,查看作业等操作权限。
系统策略的更多信息,请参见DLA系统策略功能说明。
- 自定义策略:需要您精准地设计权限策略,适用于熟悉阿里云各种云服务API以及具有精细化控制需求的用户。更多信息,请参见创建自定义策略。
操作步骤
以使用主账号在RAM控制台创建一个RAM用户,并授予自定义权限或者系统权限为例,操作步骤如下。
- 创建RAM账号
- 使用云账号登录RAM控制台。
- 单击左侧导航栏的。
- 在用户页面,单击创建用户。
- 输入登录名称和显示名称。
- 在访问方式区域下,选择控制台访问或编程访问。
- 控制台访问:登录安全的基本设置,包括自动生成密码或自定义登录密码、是否要求下次登录时重置密码以及是否开启多因素认证。
- 编程访问:自动为RAM账号创建AccessKey,支持通过API或其他开发工具访问DLA服务。
说明 为保障账号安全,建议仅为RAM账号选择一种访问方式,避免RAM账号离开组织后仍可以通过访问密钥访问DLA服务。 - 单击确定。
- (可选)创建自定义策略
除了使用DLA提供的系统权限,您还可以按以下步骤在RAM控制台创建自定义权限策略。
- 在RAM控制台,单击左侧导航栏的。
- 单击创建权限策略。
- 填写策略名称。
- 配置模式选中脚本配置,添加策略内容。
- 单击确定。
- 为RAM账号授权
- 在RAM控制台,单击左侧导航栏的。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在左侧选择权限下的权限策略名称和备注列表中,单击需要授予RAM用户的权限策略。
- 单击确定。
- 单击完成。
DLA系统策略功能说明
| 功能 | DLAFullAccess | DLADeveloperAccess | DLAReadonlyAccess |
|---|---|---|---|
| 查看虚拟集群列表 | ✔️ | ✔️ | ✔️ |
| 新增虚拟集群 | ✔️ | ❌ | ❌ |
| 修改虚拟集群 | ✔️ | ❌ | ❌ |
| 释放虚拟集群 | ✔️ | ❌ | ❌ |
| 查看集群标签列表 | ✔️ | ✔️ | ✔️ |
| 增加集群标签 | ✔️ | ❌ | ❌ |
| 删除集群标签 | ✔️ | ❌ | ❌ |
| 查看Spark作业列表 | ✔️ | ✔️ | ✔️ |
| 提交Spark作业 | ✔️ | ✔️ | ❌ |
| 查看Spark作业 | ✔️ | ✔️ | ✔️ |
| 停止Spark作业 | ✔️ | ❌ | ❌ |
| 执行Spark代码块 | ✔️ | ✔️ | ❌ |
| 查看Spark代码块列表 | ✔️ | ✔️ | ✔️ |
| 终止Spark代码块 | ✔️ | ❌ | ❌ |
| 查看Spark代码信息 | ✔️ | ✔️ | ✔️ |
| 查看湖仓列表 | ✔️ | ✔️ | ✔️ |
| 创建湖仓 | ✔️ | ❌ | ❌ |
| Dump湖仓DSL描述 | ✔️ | ❌ | ✔️ |
| 查看湖仓相关所有表进度 | ✔️ | ✔️ | ✔️ |
| 查看Workload列表 | ✔️ | ✔️ | ✔️ |
| 创建Workload | ✔️ | ❌ | ❌ |
| 删除Workload | ✔️ | ❌ | ❌ |
| 启动Workload | ✔️ | ❌ | ❌ |
| 停止Workload | ✔️ | ❌ | ❌ |
| 重做校正Workload | ✔️ | ❌ | ❌ |
| Dump Workload的DSL | ✔️ | ❌ | ✔️ |
| 检查Workload输出Prefix前缀是否已存在 | ✔️ | ✔️ | ✔️ |
| 查看下Workload任务的Log或者Spark UI | ✔️ | ✔️ | ✔️ |
| 查看Workload的所有表进度 | ✔️ | ✔️ | ✔️ |