如果您使用DataWorks数据集成同步阿里云实例下的数据,且实例所属云账号与进行DataWorks数据同步任务操作的云账号不一致时,您需要进行实例跨账号授权的配置,授权DataWorks的操作账号有实例的读权限。本文为您介绍此场景下的跨账号授权的配置指导。

背景信息

在添加数据源时,您可以选择添加数据源类型为阿里云实例模式,如果实例所属的云账号与进行DataWorks集成配置的云账号不一致,您则需参考下文进行跨账号授权配置。

跨账号授权操作流程

  1. 使用实例所属云账号(主账号,或有写权限的RAM账号)登录RAM控制台,创建一个RAM角色。
    核心配置参数如下,操作详情请参见创建可信实体为阿里云账号的RAM角色
    • 角色名称:自定义。
    • 选择信任的云账号:选择当前云账号。
  2. 为创建好的RAM角色精确授权。
    其中核心配置参数如下,操作详情请参见方式二:在RAM角色管理页面为RAM角色精确授权
    • 选择权限类型:选择系统策略。
    • 输入策略名称:参照下表。
      实例类型策略名称
      RDS(MySQL、SQL Server、PostgreSQL、MariaDB)AliyunDataWorksAccessingRdsReadOnlyPolicy
      HologresAliyunHologresReadOnlyAccess
      HiveAliyunDataWorksAccessingEMRReadOnlyPolicyAliyunDataWorksAccessingDLFReadOnlyPolicy
  3. 为创建好的RAM角色修改信任策略。
    其中修改后的信任策略如下,操作详情请参见示例一:修改RAM角色的可信实体为阿里云账号
    {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "DataWorks使用者主账号的云账号ID@cdp.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
    其中:DataWorks使用者主账号的云账号ID需要替换为您的DataWorks操作阿里云账号主账号ID。
    说明 您可以访问安全设置页面查看阿里云主账号ID。

后续操作

完成上述授权操作后,您在添加数据源时,跨账号配置时即可选择跨账号授权的RAM角色。

  • 数据源类型:选择阿里云实例模式
  • 实例所属账号:选择其他云账号
  • 其他云账号主账号ID:填写实例所属的云账号ID。
  • RAM账号授权角色名称:填写跨账号授权时创建的RAM角色,详情请参见上文的指导文档跨账号授权操作流程