MaxCompute支持您通过阿里云账号、RAM用户或RAM角色访问MaxCompute。本文为您介绍如何通过这三种方式访问MaxCompute。
背景信息
MaxCompute支持您通过阿里云账号、RAM用户账号或RAM角色认证用户身份是否有效,如果身份信息有效即可访问MaxCompute。
创建的阿里云账号为主账号,作为阿里云系统识别的资源消费账户,主账号拥有该账户的所有权限。
当您需要邀请其他用户协助使用MaxCompute服务,需要创建RAM用户,并通过主账号为RAM用户授权。
RAM角色(RAM role)与RAM用户一样,都是RAM身份类型的一种。RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要由一个受信的实体用户扮演才能正常使用。
通过阿里云账号访问MaxCompute
通过阿里云账号访问MaxCompute的流程如下:
可选:创建阿里云账号,并完成实名认证及创建AccessKey,操作详情请参见准备阿里云账号。
说明一个AccessKey包括AccessKey ID和AccessKey Secret两部分。AccessKey ID用于检索AccessKey,AccessKey Secret用于计算消息签名,所以需要严格保护以防泄露。当一个AccessKey需要更新时,您可以创建一个新的AccessKey,然后禁用旧的AccessKey。
禁用或解禁一个AccessKey时,需要等待15分钟后才能完全生效。
使用创建的阿里云账号或基于AccessKey访问MaxCompute。
方式一:使用阿里云账号登录阿里云官网,进入MaxCompute控制台或DataWorks控制台,完成开通、创建MaxCompute项目空间、管理数据、管理用户、分析数据等操作。
方式二:使用MaxCompute客户端(odpscmd)基于AccessKey访问MaxCompute项目空间。客户端配置文件odps_config.ini中需要配置AccessKey信息,详情请参见安装并配置MaxCompute客户端。
方式三:借助SDK基于AccessKey访问MaxCompute项目空间。详情请参见Java SDK或Python SDK。
说明由于阿里云账号的AccessKey泄露会对整个账号的云资源带来风险,建议您不要直接使用阿里云账号执行MaxCompute日常的操作或管理。
通过RAM用户账号访问MaxCompute
默认情况下,MaxCompute项目空间仅能识别阿里云账号体系。您可以自行添加对RAM账号体系的支持。通过RAM用户账号访问MaxCompute的流程如下:
可选:查看MaxCompute项目空间支持的账号体系,增加对RAM账号体系的支持。
登录MaxCompute客户端(odpscmd),执行
add accountprovider ram;
命令,增加对RAM账号体系的支持。执行
list accountproviders;
命令查看MaxCompute项目空间支持的账号系统已增加RAM。
基于阿里云账号创建RAM用户,并将RAM用户添加至MaxCompute项目空间。操作详情请参见准备RAM用户和为工作空间添加空间成员。
说明MaxCompute项目空间仅识别RAM的账号体系,将RAM账号添加到MaxCompute项目空间中作为项目空间成员,MaxCompute项目空间不识别该RAM账号在RAM权限体系中的权限。即您可以将自身的任意RAM账号加入MaxCompute的某一个项目中,但MaxCompute在对该RAM账号进行权限验证时,并不会考虑RAM中的权限定义。
通过RAM角色访问MaxCompute
RAM角色不代表某个特定的人员,可以由任何有需要的人员扮演,同时RAM角色没有账号/密码或者AccessKey的认证凭证,需在角色扮演时使用临时安全令牌(STS)进行身份认证。
使用RAM角色访问MaxCompute主要满足以下场景需要:
进行角色SSO:阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色来登录阿里云。
阿里云跨服务访问:创建可信实体为阿里云服务的RAM角色,阿里云服务A可以使用这个RAM角色代表用户访问B服务。对于MaxCompute服务,支持将指定的RAM角色这一特殊账号,像普通RAM账号一样,添加为MaxCompute项目空间的用户。在项目空间中,把该RAM角色等同于普通RAM账号进行授权管理,例如赋予创建数据对象、执行作业、写入数据、读取数据权限。其它服务可通过扮演该RAM角色访问MaxCompute项目空间,进行数据管理、数据分析、数据交换。
创建RAM角色,并定义RAM角色的信任策略,创建RAM角色操作详情请参见创建可信实体为阿里云账号的RAM角色、创建可信实体为身份提供商的RAM角色或创建可信实体为阿里云服务的RAM角色,定义RAM角色的信任策略操作详情请参见修改RAM角色的信任策略。
将RAM角色添加至MaxCompute项目空间,操作详情请参见添加RAM角色(项目级别)。
使用RAM角色访问MaxCompute项目空间,详情请参见SAML角色SSO概览。