为RAM用户授权

更新时间: 2022-09-09 17:41:07

为确保RAM用户能正常使用Databricks 数据洞察控制台的功能,您需要使用云账号登录访问控制RAM(Resource Access Management),授予RAM用户相应的权限。

背景信息

访问控制RAM是阿里云提供的资源访问控制服务,更多详情请参见什么是访问控制。以下举例访问控制RAM的典型场景:

  • 用户:如果您购买了多台Databricks 数据洞察集群实例,您的组织里有多个用户(如运维、开发或数据分析)需要使用这些实例,您可以创建一个策略允许部分用户使用这些实例。避免了将同一个AccessKey泄露给多人的风险。

  • 用户组:您可以创建多个用户组,并授予不同权限策略,授权过程与授权用户过程相同,可以起到批量管理的效果。

权限策略

权限策略分为系统策略自定义策略

  • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。Databricks 数据洞察经常使用的系统策略:

    • AliyunDDIFullAccess:管理Databricks 数据洞察的权限,主要包括对Databricks 数据洞察的所有资源的所有操作权限。

    • AliyunDDIDevelopAccess:Databricks 数据洞察开发者权限,与AliyunDDIFullAccess策略相比,不授予集群的创建和释放等操作权限。

  • 自定义策略:需要您精准地设计权限策略,适用于熟悉阿里云各种云服务API以及具有精细化控制需求的用户。详细方法可以参见创建RAM自定义策略

注意

系统策略默认仅为RAM用户提供查看OSS Bucket和Object列表权限,RAM用户无法编辑OSS Bucket和Object。如需更多OSS权限策略请参见OSS数据权限隔离

授权建议

首次开通购买,如果安全合规条件允许 ,我们推荐使用阿里云主账号或具有AdministratorAccess权限的RAM子用户/角色。

如果需要更精细的权限管理,您需要使用阿里云主账号为您的RAM用户账号做如下授权。

  • 授权系统策略 AliyunDDIFullAccess

  • 如需购买包年包月集群,需要使用自定义策略授权支付订单的权限点bss:PayOrder

  • 因Databricks数据洞察产品依赖RAM跨服务授权,首次开通产品服务需要RAM的管理权限进行授权,建议通过主账号授权AliyunRAMFullAccess策略或者添加如下自定义策略:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateRole",
                "ram:AttachPolicyToRole"
            ],
            "Resource": [
                "acs:ram:*:*:role/AliyunDDIEcsDefaultRole",
                "acs:ram:*:system:policy/AliyunDDIEcsDefaultRolePolicy"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "acs:ram:*:*:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "ddi.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
注意

以上三个鉴权策略,AliyunDDIFullAccess影响后续Dabricks数据洞察产品使用;另外两个策略只在您首次开通和购买Dabricks数据洞察集群时需要授予。

授权RAM用户

请根据上述权限策略为您的RAM账号授权。具体操作步骤请参见为RAM用户授权

上一篇: 服务关联角色 下一篇: 运维监控