MaxCompute部分资源管理类的操作只能通过管理控制台来完成,其中有些操作权限通过RAM进行鉴权,本文为您介绍MaxCompute管理相关操作对接RAM的权限点列表及权限策略。
权限点列表
操作类别 | Action | ARN | ARN示例 | 说明 |
---|---|---|---|---|
项目管理 | odps:ListProjects | acs:odps:${region-id}:${resource-owner-id}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看阿里云账号指定Region下的所有Project列表。 |
odps:CreateProject | 创建Project。 | |||
odps:GetProject | acs:odps:${region-id}:${resource-owner-id}:projects/${object-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 获取单个Project信息。 | |
odps:DeleteProject | 删除Project。 | |||
odps:UpdateProjectStatus | 冻结或恢复Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的默认Quota。 | |||
Quota管理 | odps:UpdateQuota | acs:odps:${region-id}:${resource-owner-id}:quotas/${object-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 修改一级或二级Quota。 |
odps:UpdateQuotaPlan | 修改Quota计划。 | |||
odps:UpdateSubQuotas | 创建二级自定义Quota。 | |||
odps:UpdateQuotaSchedule | 修改时间计划。 | |||
odps:CreateQuotaPlan | 创建Quota计划。 | |||
odps:DeleteQuotaPlan | 删除Quota计划。 | |||
odps:CreateQuotaSchedule | 创建时间计划。 | |||
网络连接(NetworkLink) | odps:ListNetworkLinks | acs:odps:${region-id}:${resource-owner-id}:networkLinks/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/* | 查看租户下所有网络连接列表。 |
odps:CreateNetworkLink | 创建网络连接。 | |||
odps:GetNetworkLink | acs:odps:${region-id}:${resource-owner-id}:networkLinks/${networkLinks-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/networklink_1(NetworkLink名称) | 获取单个网络连接信息。 | |
odps:RemoveNetworkLink | 删除网络连接。 | |||
租户级用户与角色管理 | odps:ListTenantUsers | acs:odps:${resource-owner-id}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantUsers/* | 查看租户级用户列表。 |
odps:AddTenantUsers | 添加租户级用户。 | |||
odps:RemoveTenantUsers | 删除租户级用户。 | |||
odps:UpdateTenantRolesToUser | 修改单个用户的租户级角色。 | |||
odps:ListAllTenantRoles | acs:odps:${resource-owner-id}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/* | 查看租户级角色列表。 | |
odps:CreateTenantRole | 创建租户级角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:${resource-owner-id}:tenantRoles/${role-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/tenantrole_1(租户级角色名称) | 更新租户级角色Policy权限策略。 | |
odps:GetTenantRolePolicy | 获取单个租户级角色Policy权限策略。 | |||
odps:RemoveTenantRole | 删除租户级角色。 |
重要
- RAM账号一旦被允许("Effect": "Allow")进行ListProjects、GetProject操作,则允许查看主账号下指定Region的所有MaxCompute项目列表与信息(包括未被加入的项目)。
- RAM账号被显式拒绝("Effect": "Deny")进行ListProjects、GetProject操作,则无法查看主账号下指定Region的任何MaxCompute项目信息(包括已被加入的项目)。
- RAM账号未被定义是否允许进行ListProjects、GetProject操作(即没有授予任何相关RAM权限策略),则将能够获取所属主账号指定Region下的已被加入的MaxCompute项目列表与信息。
- 网络连接、租户级用户与角色管理相关权限也支持通过MaxCompute租户级别角色授权,若RAM权限策略配置的是通过(即策略中:
"Effect": "Allow"
),则鉴权通过;若RAM权限未定义(即未定义相关RAM策略),则以租户级别角色授权信息为准;若RAM权限配置的是拒绝(即策略中:"Effect": "Deny"
),则鉴权不通过。
权限策略
RAM支持两种类型的权限策略:由阿里云管理的系统策略和由客户管理的自定义策略。
- RAM系统策略。MaxCompute在RAM上提供了两种系统策略:
AliyunMaxComputeFullAccess
:此策略权限将包含上述MaxCompute接入RAM的所有权限点,您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户或RAM角色权限过大的情况,请谨慎操作。AliyunMaxComputeReadOnlyAccess
:此策略将包含上述MaxCompute接入RAM的所有列表操作(List)和读操作(Get)权限点,您可以直接给RAM用户或RAM角色授权此权限策略。
- RAM自定义策略。您可以自定义一些策略进行精细化的权限管控,详情请参见创建自定义权限策略,自定义权限策略示例如下。
- 支持MaxCompute Project对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota" ], "Resource": "*" } ] }
- 支持MaxCompute Quota对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule" ], "Resource": "*" } ] }
- 支持MaxCompute Project对象管理权限策略。