MaxCompute支持通过使用阿里云的访问控制RAM(Resource Access Management)服务授权,将您云账号下MaxCompute资源的访问及管理权限授予RAM用户和RAM角色,按需为用户分配最小权限,从而降低企业的信息安全风险。本文为您介绍MaxCompute中支持的两种权限策略。

背景信息

RAM支持两种类型的权限定义:由用户管理的自定义权限策略和由阿里云管理的系统权限策略。MaxCompute建议您通过创建自定义权限策略,对RAM用户、RAM角色进行精细化授权,目前可以在RAM中进行授权的MaxCompute资源类型有Project和Quota,具体的权限点列表请参见RAM权限。当RAM用户或RAM角色执行经过RAM授权的MaxCompute资源相关操作时,MaxCompute后台会向RAM进行权限检查,以确保调用者拥有相应权限。
说明 如果RAM用户或RAM角色通过DataWorks管理控制台使用MaxCompute,遇到提示无权限问题,则需要添加DataWorks相关权限,详情请参见最佳实践:为RAM用户授权指引

RAM自定义权限策略

配置该策略后,所有支持RAM鉴权的权限都会被授予该RAM用户或RAM角色,您可以自定义一些策略进行精细化的权限管控,详情请参见创建自定义权限策略

自定义权限策略示例如下,详细的权限策略语法请参见权限策略语法和结构
  • 支持MaxCompute Project对象管理权限策略。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "odps:CreateProject",
                    "odps:DeleteProject",
                    "odps:UpdateProjectDefaultQuota"
                ],
                "Resource": "*"
            }
        ]
    }
  • 支持MaxCompute Quota对象管理权限策略。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "odps:UpdateQuota",
                    "odps:UpdateQuotaPlan",
                    "odps:UpdateSubQuotas",
                    "odps:UpdateQuotaSchedule",
                    "odps:CreateQuotaPlan",
                    "odps:DeleteQuotaPlan",
                    "odps:CreateQuotaSchedule"
                ],
                "Resource": "*"
            }
        ]
    }

RAM系统权限策略

MaxCompute在RAM上提供了AliyunMaxComputeFullAccess的系统策略,此策略权限将包含MaxCompute接入RAM的所有权限点(具体的权限点列表请参见RAM权限),您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户和RAM角色权限过大的情况,请谨慎操作。

为RAM用户或RAM角色授予系统权限策略请参见为RAM用户授权