MaxCompute部分资源管理类的操作只能通过管理控制台来完成,其中有些操作权限通过RAM进行鉴权,本文为您介绍MaxCompute管理相关操作对接RAM的权限点列表及权限策略。
权限点列表
操作类别 | Action | ARN | ARN示例 | 说明 |
项目管理 | odps:ListProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看阿里云账号指定Region下的所有Project列表。 |
odps:CreateProject | 创建Project。 | |||
odps:GetProject | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 获取单个Project信息。 | |
odps:DeleteProject | 删除Project。 | |||
odps:UpdateProjectStatus | 冻结或恢复Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的默认Quota。 | |||
odps:ListOutboundInternetAddress | 查看外部网络配置。 | |||
odps:UpdateOutboundInternetAddress | 更新外部网络配置。 | |||
odps:CreateRole | 创建项目级别角色。 | |||
odps:DeleteRole | 删除项目级别角色。 | |||
odps:UpdateRole | 更新项目级别角色。 | |||
odps:UpdateUsersToAdmin | 设置项目管理员,即Admin角色。 | |||
odps:UpdateUsersToSuperAdmin | 设置项目超级管理员,即Super_Administrator角色。 | |||
odps:UpdateUsersToRole | 项目级别角色的成员管理 | |||
Quota管理 | odps:UpdateQuota | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 修改一级或二级Quota。 |
odps:UpdateQuotaPlan | 修改Quota计划。 | |||
odps:UpdateSubQuotas | 创建二级自定义Quota。 | |||
odps:UpdateQuotaSchedule | 修改时间计划。 | |||
odps:CreateQuotaPlan | 创建Quota计划。 | |||
odps:DeleteQuotaPlan | 删除Quota计划。 | |||
odps:CreateQuotaSchedule | 创建时间计划。 | |||
odps:ListQuotaRoutingRules | acs:odps:{#regionId}:{#accountId}:quotas/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/* | 查看二级Quota规则列表。 | |
odps:CreateQuotaRoutingRule | 添加二级Quota规则。 | |||
odps:GetQuotaRoutingRule | acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1#quota_1_1(一级quota名称#二级quota名称。可以是nickname也可以是name。) | 查看二级Quota规则。 | |
odps:RemoveQuotaRoutingRule | 移除二级Quota规则。 | |||
odps:UpdateQuotaRoutingRule | 修改二级Quota规则。 | |||
资源观测 | odps:GetMetric | acs:odps:{#regionId}:{#accountId}:metric/{#category} | acs:odps:cn-hangzhou:12345(阿里云账号uid):metric/storage | 包括开放存储、外表缓存、作业观测、存储趋势等监控曲线。 |
资源观测(计算资源) | odps:GetQuotaUsage | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 查看计算资源或者数据传输资源使用详情。 |
资源观测(存储资源) | odps:GetStorageSizeSummary | acs:odps:{#regionId}:{#accountId}:storage/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/* | 获取当日存储用量汇总数据。 |
odps:GetStorageAmountSummary | 获取当日存储分布汇总数据。 | |||
odps:GetStorageSummaryCompared | 获取存储用量变化数据。 | |||
odps:ListStorageProjectsInfo | 获取项目存储明细。 | |||
odps:SumDailyBillsByItem | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/* | 获取存储费用(目录价)。 | |
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/* | 获取每日存储用量。 | |
odps:ListStorageTablesInfo | acs:odps:{#regionId}:{#accountId}:storage/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/prj_1 | 获取表存储明细。 | |
odps:ListStoragePartitionsInfo | 获取分区存储明细。 | |||
资源观测(数据传输服务) | odps:GetTableAccessInfoTopK | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 查看数据传输资源表访问热度TopK。 |
odps:GetTableIpAccessInfoTopK | 查看数据传输资源访问来源IP热度TopK。 | |||
odps:GetTableAccessInfo | 查看数据传输资源表访问热度信息。 | |||
odps:ListTableSlotDetail | 查看数据传输资源的数据传输详情信息。 | |||
odps:GetTunnelThroughputSummary | 查看数据传输资源的数据传输数据量汇总。 | |||
资源观测(作业性能) | odps:ListTopJobInfo | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/prj_1 | 获取消耗资源、耗时Top作业。 |
作业运维 | odps:ListJobInfos | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/* | 查看作业信息列表。 |
odps:ListJobSnapshotInfos | 查看作业快照列表。 | |||
odps:KillJobs | 终止作业。 | |||
odps:GetJobResourceUsage | 查看作业资源信息汇总。 | |||
odps:GetRunningJobs | 查看正在运行的作业列表。 | |||
odps:GetJobSummaryByPreCompute | 查看作业状态汇总。 | |||
odps:GetJobLogView | acs:odps:{#regionId}:{#accountId}:job/{#instanceId} | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/20240828****ju4h | 获取作业的Logview。 | |
odps:GetJobAnalyzeQuotaUsage | 查看作业的计算资源使用情况。 | |||
odps:GetJobAnalyzeQuotaDistribution | acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/quota_1 | 查看作业的计量资源使用分布情况。 | |
物化视图 | odps:ListGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):globalconfig/* | 查看全局配置开关(目前仅支持物化视图)。 |
odps:GetGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):globalconfig/mvrecommendation | 获取单个全局配置开关(目前仅支持物化视图)。 | |
odps:CloseGlobalConfig | 关闭单个全局配置开关(目前仅支持物化视图)。 | |||
odps:UpdateGlobalConfig | 修改单个全局配置开关(目前仅支持物化视图)。 | |||
odps:ListMvRecommendationSupportProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看开启物化视图推荐的项目列表。 | |
odps:CheckMvRecommendationSupportProjects | 检查开启物化视图推荐的项目列表。 | |||
odps:ListMvRecommendations | 查看推荐物化视图列表。 | |||
odps:GetMvRecommendation | 查看推荐物化视图信息。 | |||
odps:AddMvRecommendationSupportProject | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 添加开启物化视图推荐的项目。 | |
odps:RemoveMvRecommendationSupportProject | 移除开启物化视图推荐的项目。 | |||
odps:CreateMaterializedView | 创建物化视图。 | |||
odps:GetMaterializedViewStatus | 查看物化视图的创建状态。 | |||
odps:ListMaterializedViews | 查看所有创建的物化视图。 | |||
odps:GetMaterializedView | 查看物化视图的信息。 | |||
odps:UpdateMaterializedView | 更新物化视图的信息。 | |||
odps:DeleteMaterializedView | 删除物化视图。 | |||
odps:ListProjectMvRecommendations | 查看项目的推荐物化视图列表。 | |||
odps:GetProjectMvRecommendation | 查看项目的推荐物化视图信息。 | |||
odps:ListMvRecommendationsByProject | 查看项目的推荐物化视图列表。 | |||
odps:GetMvRecommendationByProject | 查看项目的推荐物化视图信息。 | |||
odps:ListMvRecommendationJobInfo | 查看推荐物化视图涉及的作业信息。 | |||
odps:ListMaterializedViewJobInfo | 查看物化视图涉及的作业信息。 | |||
成本分析 | odps:SumBills | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/* | 查看费用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:{#regionId}:{#accountId}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):computeMetrics/* | 查看计算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/* | 查看存储用量分析。 | |
odps:SumStorageMetricsByType | ||||
租户管理-租户属性 | odps:GetTenantSetting | acs:odps:{#accountId}:tenant/settings/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenant/settings/* | 查看租户配置。 |
odps:UpdateTenantSetting | acs:odps:{#accountId}:tenant/settings/{#key} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenant/settings/namespaceSchema | 修改租户配置。 | |
租户管理-网络连接(NetworkLink) | odps:ListNetworkLinks | acs:odps:{#regionId}:{#accountId}:networklink/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/* | 查看租户下所有网络连接列表。 |
odps:CreateNetworkLink | 创建网络连接。 | |||
odps:GetNetworkLink | acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/networklink_1(NetworkLink名称) | 获取单个网络连接信息。 | |
odps:RemoveNetworkLink | 删除网络连接。 | |||
租户管理-镜像管理 | odps:ListImage | acs:odps:{#regionId}:{#accountId}:image/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/* | 查询自定义镜像列表。 |
odps:AddImage | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/* | 新建自定义镜像。 | ||
odps:GetImage | acs:odps:{#regionId}:{#accountId}:image/{#name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/image1 | 查询自定义镜像信息。 | |
odps:RemoveImage | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/{name} | 删除自定义镜像。 | ||
租户级用户与角色管理 | odps:ListTenantUsers | acs:odps:{#accountId}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantUsers/* | 查看租户级用户列表。 |
odps:AddTenantUsers | 添加租户级用户。 | |||
odps:RemoveTenantUsers | 删除租户级用户。 | |||
odps:UpdateTenantRolesToUser | 修改单个用户的租户级角色。 | |||
odps:ListAllTenantRoles | acs:odps{#accountId}}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/* | 查看租户级角色列表。 | |
odps:CreateTenantRole | 创建租户级角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:{#accountId}:tenantRoles/{#roleName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/tenantrole_1(租户级角色名称) | 更新租户级角色Policy权限策略。 | |
odps:GetTenantRolePolicy | 获取单个租户级角色Policy权限策略。 | |||
odps:RemoveTenantRole | 删除租户级角色。 |
RAM账号一旦被允许("Effect": "Allow")进行ListProjects、GetProject操作,则允许查看主账号下指定Region的所有MaxCompute项目列表与信息(包括未被加入的项目)。
RAM账号被显式拒绝("Effect": "Deny")进行ListProjects、GetProject操作,则无法查看主账号下指定Region的任何MaxCompute项目信息(包括已被加入的项目)。
RAM账号未被定义是否允许进行ListProjects、GetProject操作(即没有授予任何相关RAM权限策略),则将能够获取所属主账号指定Region下的已被加入的MaxCompute项目列表与信息。
网络连接、租户级用户与角色管理相关权限也支持通过MaxCompute租户级别角色授权,若RAM权限策略配置的是通过(即策略中:
"Effect": "Allow"),则鉴权通过;若RAM权限未定义(即未定义相关RAM策略),则以租户级别角色授权信息为准;若RAM权限配置的是拒绝(即策略中:"Effect": "Deny"),则鉴权不通过。
条件(Condition)说明
Condition用于指定授权生效的限制条件,由一个或多个条件子句构成。一个条件子句由条件操作类型、条件关键字和条件值组成。关于Condition的更多信息请参见条件(Condition)。
MaxCompute Condition中的条件操作类型和条件关键字如下:
条件操作类型:
条件操作类型
支持类型
布尔类型(Boolean)
Bool
条件关键字:
Condition
说明
odps:Encryption
用于在创建MaxCompute项目时限制项目的加密情况。取值范围如下:
true:需要加密。
false:不加密。
MaxCompute数据加密相关信息请参见存储加密。
权限策略
RAM支持两种类型的权限策略:由阿里云管理的系统策略和由客户管理的自定义策略。
RAM系统策略。
MaxCompute在RAM上提供了两种系统策略:
AliyunMaxComputeFullAccess:此策略权限将包含上述MaxCompute接入RAM的所有权限点,您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户或RAM角色权限过大的情况,请谨慎操作。AliyunMaxComputeReadOnlyAccess:此策略将包含上述MaxCompute接入RAM的所有列表操作(List)和读操作(Get)权限点,您可以直接给RAM用户或RAM角色授权此权限策略。
RAM自定义策略。
您可以通过RAM控制台创建自定义权限策略以进行精细化的权限管控,详情请参见创建自定义权限策略。RAM策略包含版本号(Version)和授权语句(Statement),每条授权语句又包含授权效力(Effect)、操作(Action)、资源(Resource)以及可选的限制条件(Condition)。其中Action和Resource参数值取自权限点列表中的Action和ARN(Aliyun Resource Name),详情请参见权限点列表;Condition参数值取自条件说明,详情请参见条件(Condition)说明。更多权限策略的语法和结构内容请参见权限策略语法和结构。
自定义权限策略示例如下。
支持MaxCompute Project对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota", "odps:UpdateProjectStatus", "odps:UpdateUsersToSuperAdmin", "odps:ListOutboundInternetAddress", "odps:UpdateOutboundInternetAddress" ], "Resource": "*" } ] }支持MaxCompute Quota对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule", "odps:ListQuotaRoutingRules", "odps:CreateQuotaRoutingRule", "odps:GetQuotaRoutingRule", "odps:RemoveQuotaRoutingRule", "odps:UpdateQuotaRoutingRule" ], "Resource": "*" } ] }不允许创建非加密的MaxCompute项目权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }允许查看MaxCompute资源观测数据的权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:GetMetric", "odps:GetQuotaUsage", "odps:GetStorageSummaryCompared", "odps:GetStorageSizeSummary", "odps:SumDailyBillsByItem", "odps:SumStorageMetricsByDate", "odps:GetStorageAmountSummary", "odps:ListStorageProjectsInfo", "odps:ListTopJobInfo", "odps:ListStorageTablesInfo", "odps:ListStoragePartitionsInfo", "odps:GetTableAccessInfoTopK", "odps:GetTableIpAccessInfoTopK", "odps:GetTableAccessInfo", "odps:ListTableSlotDetail", "odps:GetTunnelThroughputSummary" ], "Resource": "*" } ] }