通过阿里云账号开通DLA服务后,如果您的组织里有多个用户需要使用DLA服务,这些用户只能共享使用您的阿里云账号AccessKey。您的AccessKey存在泄漏的风险,且您无法控制用户的操作权限。此时您可以创建RAM账号,并授予RAM账号对应的操作权限,让您的用户通过RAM账号来访问或管理DLA服务。

权限策略

权限策略分为系统策略和自定义策略。

  • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。云原生数据湖分析DLA使用的系统策略有:
    • AliyunDLAFullAccess:管理DLA的权限,包括对DLA中所有资源的所有操作权限。
    • AliyunDLADeveloperAccess:开发者权限,与AliyunDLAFullAccess策略相比,不授予虚拟集群的创建、修改、释放等操作权限。
    • AliyunDLAReadOnlyAccess:DLA资源只读访问的权限,支持查看虚拟集群,查看作业等操作权限。

    系统策略的更多信息,请参见DLA系统策略功能说明

  • 自定义策略:需要您精准地设计权限策略,适用于熟悉阿里云各种云服务API以及具有精细化控制需求的用户。更多信息,请参见创建自定义策略

操作步骤

以使用主账号在RAM控制台创建一个RAM用户,并授予自定义权限或者系统权限为例,操作步骤如下。

  1. 创建RAM账号
    1. 使用云账号登录RAM控制台
    2. 单击左侧导航栏的人员管理 > 用户
    3. 用户页面,单击创建用户创建用户
    4. 输入登录名称显示名称
    5. 访问方式区域下,选择控制台访问编程访问
      • 控制台访问:登录安全的基本设置,包括自动生成密码或自定义登录密码、是否要求下次登录时重置密码以及是否开启多因素认证。
      • 编程访问:自动为RAM账号创建AccessKey,支持通过API或其他开发工具访问DLA服务。
      创建用户信息
      说明 为保障账号安全,建议仅为RAM账号选择一种访问方式,避免RAM账号离开组织后仍可以通过访问密钥访问DLA服务。
    6. 单击确定
  2. (可选)创建自定义策略

    除了使用DLA提供的系统权限,您还可以按以下步骤在RAM控制台创建自定义权限策略。

    1. 在RAM控制台,单击左侧导航栏的权限管理 > 权限策略管理
    2. 单击创建权限策略创建权限策略
    3. 填写策略名称
    4. 配置模式选中脚本配置,添加策略内容
      说明 策略内容中 ActionResource参数取值请参见 鉴权列表
      新建自定义权限策略
    5. 单击确定
  3. 为RAM账号授权
    1. 在RAM控制台,单击左侧导航栏的人员管理 > 用户
    2. 用户页面,单击目标RAM用户操作列的添加权限添加权限
    3. 在左侧选择权限下的权限策略名称备注列表中,单击需要授予RAM用户的权限策略。选择权限
    4. 单击确定
    5. 单击完成

DLA系统策略功能说明

功能 DLAFullAccess DLADeveloperAccess DLAReadonlyAccess
查看虚拟集群列表 ✔️ ✔️ ✔️
新增虚拟集群 ✔️
修改虚拟集群 ✔️
释放虚拟集群 ✔️
查看集群标签列表 ✔️ ✔️ ✔️
增加集群标签 ✔️
删除集群标签 ✔️
查看Spark作业列表 ✔️ ✔️ ✔️
提交Spark作业 ✔️ ✔️
查看Spark作业 ✔️ ✔️ ✔️
停止Spark作业 ✔️
执行Spark代码块 ✔️ ✔️
查看Spark代码块列表 ✔️ ✔️ ✔️
终止Spark代码块 ✔️
查看Spark代码信息 ✔️ ✔️ ✔️
查看湖仓列表 ✔️ ✔️ ✔️
创建湖仓 ✔️
Dump湖仓DSL描述 ✔️ ✔️
查看湖仓相关所有表进度 ✔️ ✔️ ✔️
查看Workload列表 ✔️ ✔️ ✔️
创建Workload ✔️
删除Workload ✔️
启动Workload ✔️
停止Workload ✔️
重做校正Workload ✔️
Dump Workload的DSL ✔️ ✔️
检查Workload输出Prefix前缀是否已存在 ✔️ ✔️ ✔️
查看下Workload任务的Log或者Spark UI ✔️ ✔️ ✔️
查看Workload的所有表进度 ✔️ ✔️ ✔️