文档

RAM权限

更新时间:

MaxCompute部分资源管理类的操作只能通过管理控制台来完成,其中有些操作权限通过RAM进行鉴权,本文为您介绍MaxCompute管理相关操作对接RAM的权限点列表及权限策略。

权限点列表

操作类别

Action

ARN

ARN示例

说明

项目管理

odps:ListProjects

acs:odps:${region-id}:${resource-owner-id}:projects/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/*

查看阿里云账号指定Region下的所有Project列表。

odps:CreateProject

创建Project。

odps:GetProject

acs:odps:${region-id}:${resource-owner-id}:projects/${object-name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1

获取单个Project信息。

odps:DeleteProject

删除Project。

odps:UpdateProjectStatus

冻结或恢复Project。

odps:UpdateProjectDefaultQuota

修改Project的默认Quota。

odps:UpdateUsersToSuperAdmin

acs:odps:${region-id}:${resource-owner-id}:projectUsers/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):projectUsers/*

设置项目超级管理员,即Super_Administrator角色。

Quota管理

odps:UpdateQuota

acs:odps:${region-id}:${resource-owner-id}:quotas/${object-name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称)

修改一级或二级Quota。

odps:UpdateQuotaPlan

修改Quota计划。

odps:UpdateSubQuotas

创建二级自定义Quota。

odps:UpdateQuotaSchedule

修改时间计划。

odps:CreateQuotaPlan

创建Quota计划。

odps:DeleteQuotaPlan

删除Quota计划。

odps:CreateQuotaSchedule

创建时间计划。

odps:CreateQuotaRoutingRule

acs:odps:${region-id}:${resource-owner-id}:quotaRoutingRules/${quotaPath}

acs:odps:cn-hangzhou:12345(阿里云账号uid):quotaRoutingRules/一级Quota名称#二级Quota名称

添加二级Quota规则。

odps:RemoveQuotaRoutingRule

移除二级Quota规则。

odps:UpdateQuotaRoutingRule

修改二级Quota规则

网络连接(NetworkLink)

odps:ListNetworkLinks

acs:odps:${region-id}:${resource-owner-id}:networkLinks/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/*

查看租户下所有网络连接列表。

odps:CreateNetworkLink

创建网络连接。

odps:GetNetworkLink

acs:odps:${region-id}:${resource-owner-id}:networkLinks/${networkLinks-name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/networklink_1(NetworkLink名称)

获取单个网络连接信息。

odps:RemoveNetworkLink

删除网络连接。

租户级用户与角色管理

odps:ListTenantUsers

acs:odps:${resource-owner-id}:tenantUsers/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantUsers/*

查看租户级用户列表。

odps:AddTenantUsers

添加租户级用户。

odps:RemoveTenantUsers

删除租户级用户。

odps:UpdateTenantRolesToUser

修改单个用户的租户级角色。

odps:ListAllTenantRoles

acs:odps:${resource-owner-id}:tenantRoles/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/*

查看租户级角色列表。

odps:CreateTenantRole

创建租户级角色。

odps:UpdateTenantRolePolicy

acs:odps:${resource-owner-id}:tenantRoles/${role-name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/tenantrole_1(租户级角色名称)

更新租户级角色Policy权限策略。

odps:GetTenantRolePolicy

获取单个租户级角色Policy权限策略。

odps:RemoveTenantRole

删除租户级角色。

成本分析

odps:SumBills

acs:odps:${region-id}:${resource-owner-id}:bills/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/*

查看费用分析。

odps:SumBillsByDate

odps:SumDailyBillsByItem

odps:SumComputeMetricsByRecord

acs:odps:${region-id}:${resource-owner-id}:computeMetrics/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):computeMetrics/*

查看计算用量分析。

odps:SumComputeMetricsByUsage

odps:ListComputeMetricsByInstance

odps:ListComputeMetricsBySignature

odps:SumStorageMetricsByDate

acs:odps:${region-id}:${resource-owner-id}:storageMetrics/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/*

查看存储用量分析

odps:SumStorageMetricsByType

镜像管理

odps:GetImage

acs:odps:{#regionId}:{#accountId}:Image/{name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):Image/{name}

查询自定义镜像信息

odps:ListImage

acs:odps:{#regionId}:{#accountId}:Image/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):Image/*

查询自定义镜像列表

odps:RemoveImage

acs:odps:{#regionId}:{#accountId}:Image/{name}

acs:odps:cn-hangzhou:12345(阿里云账号uid):Image/{name}

删除自定义镜像

odps:AddImage

acs:odps:{#regionId}:{#accountId}:Image/*

acs:odps:cn-hangzhou:12345(阿里云账号uid):Image/*

新建自定义镜像

外部网络配置

odps:UpdateOutboundInternetAddress

acs:odps:{#regionId}:{#accountId}:projects/{#projectName}

acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/{#projectName}

更新外部网络配置

重要
  • RAM账号一旦被允许("Effect": "Allow")进行ListProjects、GetProject操作,则允许查看主账号下指定Region的所有MaxCompute项目列表与信息(包括未被加入的项目)。

  • RAM账号被显式拒绝("Effect": "Deny")进行ListProjects、GetProject操作,则无法查看主账号下指定Region的任何MaxCompute项目信息(包括已被加入的项目)。

  • RAM账号未被定义是否允许进行ListProjects、GetProject操作(即没有授予任何相关RAM权限策略),则将能够获取所属主账号指定Region下的已被加入的MaxCompute项目列表与信息。

  • 网络连接、租户级用户与角色管理相关权限也支持通过MaxCompute租户级别角色授权,若RAM权限策略配置的是通过(即策略中: "Effect": "Allow"),则鉴权通过;若RAM权限未定义(即未定义相关RAM策略),则以租户级别角色授权信息为准;若RAM权限配置的是拒绝(即策略中: "Effect": "Deny"),则鉴权不通过。

条件(Condition)说明

Condition用于指定授权生效的限制条件,由一个或多个条件子句构成。一个条件子句由条件操作类型、条件关键字和条件值组成。关于Condition的更多信息请参见条件(Condition)

MaxCompute Condition中的条件操作类型和条件关键字如下:

  • 条件操作类型:

    条件操作类型

    支持类型

    布尔类型(Boolean)

    Bool

  • 条件关键字:

    Condition

    说明

    odps:Encryption

    用于在创建MaxCompute项目时限制项目的加密情况。取值范围如下:

    • true:需要加密。

    • false:不加密。

    MaxCompute数据加密相关信息请参见存储加密

权限策略

RAM支持两种类型的权限策略:由阿里云管理的系统策略和由客户管理的自定义策略。

  • RAM系统策略。

    MaxCompute在RAM上提供了两种系统策略:

    • AliyunMaxComputeFullAccess:此策略权限将包含上述MaxCompute接入RAM的所有权限点,您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户或RAM角色权限过大的情况,请谨慎操作。

    • AliyunMaxComputeReadOnlyAccess:此策略将包含上述MaxCompute接入RAM的所有列表操作(List)和读操作(Get)权限点,您可以直接给RAM用户或RAM角色授权此权限策略。

  • RAM自定义策略。

    您可以通过RAM控制台创建自定义权限策略以进行精细化的权限管控,详情请参见创建自定义权限策略。RAM策略包含版本号(Version)和授权语句(Statement),每条授权语句又包含授权效力(Effect)、操作(Action)、资源(Resource)以及可选的限制条件(Condition)。其中ActionResource参数值取自权限点列表中的Action和ARN(Aliyun Resource Name),详情请参见权限点列表Condition参数值取自条件说明,详情请参见条件(Condition)说明。更多权限策略的语法和结构内容请参见权限策略语法和结构

    自定义权限策略示例如下。

    • 支持MaxCompute Project对象管理权限策略。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "odps:ListProjects",
                      "odps:GetProject",
                      "odps:CreateProject",
                      "odps:DeleteProject",
                      "odps:UpdateProjectDefaultQuota"
                  ],
                  "Resource": "*"
              }
          ]
      }
    • 支持MaxCompute Quota对象管理权限策略。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "odps:UpdateQuota",
                      "odps:UpdateQuotaPlan",
                      "odps:UpdateSubQuotas",
                      "odps:UpdateQuotaSchedule",
                      "odps:CreateQuotaPlan",
                      "odps:DeleteQuotaPlan",
                      "odps:CreateQuotaSchedule"
                  ],
                  "Resource": "*"
              }
          ]
      }
    • 不允许创建非加密的MaxCompute项目权限策略。

      {
       "Version": "1",
       "Statement": [
       {
       "Effect": "Deny",
       "Action": "odps:CreateProject",
                  "Resource": "*",
                  "Condition": {
                      "Bool": {
                          "odps:Encryption": [
                              "false"
                          ]
                      }
                  }
              }
          ]
      }
  • 本页导读 (1)