本文向您介绍如何在RAM中自定义授权MaxCompute访问OSS和OTS的权限。MaxCompute结合了阿里云的访问控制服务(RAM)和令牌服务(STS)实现对数据的安全访问。
OSS的STS模式授予权限
MaxCompute外部表直接访问OSS的数据,需要您事先将OSS的数据相关权限赋给MaxCompute的访问账号,可通过以下方式授予权限:
- 当MaxCompute和OSS的Owner是同一个账号时,单击此处完成一键授权。
- 自定义授权。
- 创建角色。登录RAM控制台(若MaxCompute和OSS不是同一个账号,此处需由OSS账号登录进行授权),通过控制台中的 RAM角色管理创建角色 ,例如角色oss-admin。
- 修改角色策略内容。
--当MaxCompute和OSS的Owner是同一个账号,设置如下。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "odps.aliyuncs.com" ] } } ], "Version": "1" } --当MaxCompute和OSS的Owner不是同一个账号,设置如下。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "MaxCompute的Owner云账号id@odps.aliyuncs.com" ] } } ], "Version": "1" }
- 编辑授权策略AliyunODPSRolePolicy。 您也可以自定义其它权限。
{ "Version": "1", "Statement": [ { "Action": [ "oss:ListBuckets", "oss:GetObject", "oss:ListObjects", "oss:PutObject", "oss:DeleteObject", "oss:AbortMultipartUpload", "oss:ListParts" ], "Resource": "*", "Effect": "Allow" } ] }
- 将权限AliyunODPSRolePolicy授权给该账号。
- 创建角色。登录RAM控制台(若MaxCompute和OSS不是同一个账号,此处需由OSS账号登录进行授权),通过控制台中的 RAM角色管理创建角色 ,例如角色oss-admin。
OTS的STS模式授权
MaxCompute外部表直接访问OTS的数据,需要您事先将OTS的数据相关权限赋给MaxCompute的访问账号,通过以下方式授予权限:
- 当MaxCompute和Table Store的Owner是同一个账号时,登录阿里云账号后,单击此处完成一键授权。
- 自定义授权
- 创建角色。
登录RAM控制台(若MaxCompute和Table Store不是同一个账号,此处需由Table Store账号登录进行授权),创建角色,例如角色AliyunODPSDefaultRole、AliyunODPSRoleForOtherUser。
- 修改策略内容。
--当MaxCompute和Table Store的Owner是同一个账号时,进行如下设置。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "odps.aliyuncs.com" ] } } ], "Version": "1" } --当MaxCompute和Table Store的Owner不是同一个账号时,进行如下设置。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "MaxCompute的Owner云账号的UID@odps.aliyuncs.com" ] } } ], "Version": "1" }
说明 您可以单击右上角的头像,进入账号管理页面查看云账号的UID。 - 编辑该角色的授权策略AliyunODPSRolePolicy。
{ "Version": "1", "Statement": [ { "Action": [ "ots:ListTable", "ots:DescribeTable", "ots:GetRow", "ots:PutRow", "ots:UpdateRow", "ots:DeleteRow", "ots:GetRange", "ots:BatchGetRow", "ots:BatchWriteRow", "ots:ComputeSplitPointsBySize" ], "Resource": "*", "Effect": "Allow" } ] } --还可自定义其它权限。
- 将权限AliyunODPSRolePolicy授权给该账号。
- 创建角色。
在文档使用中是否遇到以下问题
更多建议
匿名提交