MaxCompute支持通过使用阿里云的访问控制RAM(Resource Access Management)服务授权,将您云账号下MaxCompute资源的访问及管理权限授予RAM用户和RAM角色,按需为用户分配最小权限,从而降低企业的信息安全风险。本文为您介绍MaxCompute中支持的两种权限策略。
背景信息
RAM支持两种类型的权限定义:由用户管理的自定义权限策略和由阿里云管理的系统权限策略。MaxCompute建议您通过创建自定义权限策略,对RAM用户、RAM角色进行精细化授权,目前可以在RAM中进行授权的MaxCompute资源类型有Project和Quota,具体的权限点列表请参见RAM权限。当RAM用户或RAM角色执行经过RAM授权的MaxCompute资源相关操作时,MaxCompute后台会向RAM进行权限检查,以确保调用者拥有相应权限。
说明 如果RAM用户或RAM角色通过DataWorks管理控制台使用MaxCompute,遇到提示无权限问题,则需要添加DataWorks相关权限,详情请参见最佳实践:为RAM用户授权指引。
RAM自定义权限策略
配置该策略后,所有支持RAM鉴权的权限都会被授予该RAM用户或RAM角色,您可以自定义一些策略进行精细化的权限管控,详情请参见创建自定义权限策略。
自定义权限策略示例如下,详细的权限策略语法请参见权限策略语法和结构。
- 支持MaxCompute Project对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota" ], "Resource": "*" } ] } - 支持MaxCompute Quota对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule" ], "Resource": "*" } ] }
RAM系统权限策略
MaxCompute在RAM上提供了AliyunMaxComputeFullAccess的系统策略,此策略权限将包含MaxCompute接入RAM的所有权限点(具体的权限点列表请参见RAM权限),您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户和RAM角色权限过大的情况,请谨慎操作。
为RAM用户或RAM角色授予系统权限策略请参见为RAM用户授权。