MaxCompute部分资源管理类的操作只能通过管理控制台来完成,其中有些操作权限通过RAM进行鉴权,本文为您介绍MaxCompute管理相关操作对接RAM的权限点列表及权限策略。
权限点列表
操作类别 | Action | ARN | ARN示例 | 说明 |
项目管理 | odps:ListProjects | acs:odps:${region-id}:${resource-owner-id}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看阿里云账号指定Region下的所有Project列表。 |
odps:CreateProject | 创建Project。 | |||
odps:GetProject | acs:odps:${region-id}:${resource-owner-id}:projects/${object-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 获取单个Project信息。 | |
odps:DeleteProject | 删除Project。 | |||
odps:UpdateProjectStatus | 冻结或恢复Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的默认Quota。 | |||
odps:UpdateUsersToSuperAdmin | acs:odps:${region-id}:${resource-owner-id}:projectUsers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projectUsers/* | 设置项目超级管理员,即Super_Administrator角色。 | |
Quota管理 | odps:UpdateQuota | acs:odps:${region-id}:${resource-owner-id}:quotas/${object-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 修改一级或二级Quota。 |
odps:UpdateQuotaPlan | 修改Quota计划。 | |||
odps:UpdateSubQuotas | 创建二级自定义Quota。 | |||
odps:UpdateQuotaSchedule | 修改时间计划。 | |||
odps:CreateQuotaPlan | 创建Quota计划。 | |||
odps:DeleteQuotaPlan | 删除Quota计划。 | |||
odps:CreateQuotaSchedule | 创建时间计划。 | |||
odps:CreateQuotaRoutingRule | acs:odps:${region-id}:${resource-owner-id}:quotaRoutingRules/${quotaPath} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotaRoutingRules/一级Quota名称#二级Quota名称 | 添加二级Quota规则。 | |
odps:RemoveQuotaRoutingRule | 移除二级Quota规则。 | |||
odps:UpdateQuotaRoutingRule | 修改二级Quota规则 | |||
网络连接(NetworkLink) | odps:ListNetworkLinks | acs:odps:${region-id}:${resource-owner-id}:networkLinks/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/* | 查看租户下所有网络连接列表。 |
odps:CreateNetworkLink | 创建网络连接。 | |||
odps:GetNetworkLink | acs:odps:${region-id}:${resource-owner-id}:networkLinks/${networkLinks-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/networklink_1(NetworkLink名称) | 获取单个网络连接信息。 | |
odps:RemoveNetworkLink | 删除网络连接。 | |||
租户级用户与角色管理 | odps:ListTenantUsers | acs:odps:${resource-owner-id}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantUsers/* | 查看租户级用户列表。 |
odps:AddTenantUsers | 添加租户级用户。 | |||
odps:RemoveTenantUsers | 删除租户级用户。 | |||
odps:UpdateTenantRolesToUser | 修改单个用户的租户级角色。 | |||
odps:ListAllTenantRoles | acs:odps:${resource-owner-id}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/* | 查看租户级角色列表。 | |
odps:CreateTenantRole | 创建租户级角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:${resource-owner-id}:tenantRoles/${role-name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/tenantrole_1(租户级角色名称) | 更新租户级角色Policy权限策略。 | |
odps:GetTenantRolePolicy | 获取单个租户级角色Policy权限策略。 | |||
odps:RemoveTenantRole | 删除租户级角色。 | |||
成本分析 | odps:SumBills | acs:odps:${region-id}:${resource-owner-id}:bills/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/* | 查看费用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:${region-id}:${resource-owner-id}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):computeMetrics/* | 查看计算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:${region-id}:${resource-owner-id}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/* | 查看存储用量分析 | |
odps:SumStorageMetricsByType |
RAM账号一旦被允许("Effect": "Allow")进行ListProjects、GetProject操作,则允许查看主账号下指定Region的所有MaxCompute项目列表与信息(包括未被加入的项目)。
RAM账号被显式拒绝("Effect": "Deny")进行ListProjects、GetProject操作,则无法查看主账号下指定Region的任何MaxCompute项目信息(包括已被加入的项目)。
RAM账号未被定义是否允许进行ListProjects、GetProject操作(即没有授予任何相关RAM权限策略),则将能够获取所属主账号指定Region下的已被加入的MaxCompute项目列表与信息。
网络连接、租户级用户与角色管理相关权限也支持通过MaxCompute租户级别角色授权,若RAM权限策略配置的是通过(即策略中:
"Effect": "Allow"
),则鉴权通过;若RAM权限未定义(即未定义相关RAM策略),则以租户级别角色授权信息为准;若RAM权限配置的是拒绝(即策略中:"Effect": "Deny"
),则鉴权不通过。
条件(Condition)说明
Condition用于指定授权生效的限制条件,由一个或多个条件子句构成。一个条件子句由条件操作类型、条件关键字和条件值组成。关于Condition的更多信息请参见条件(Condition)。
MaxCompute Condition中的条件操作类型和条件关键字如下:
条件操作类型:
条件操作类型
支持类型
布尔类型(Boolean)
Bool
条件关键字:
Condition
说明
odps:Encryption
用于在创建MaxCompute项目时限制项目的加密情况。取值范围如下:
true:需要加密。
false:不加密。
MaxCompute数据加密相关信息请参见存储加密。
权限策略
RAM支持两种类型的权限策略:由阿里云管理的系统策略和由客户管理的自定义策略。
RAM系统策略。
MaxCompute在RAM上提供了两种系统策略:
AliyunMaxComputeFullAccess
:此策略权限将包含上述MaxCompute接入RAM的所有权限点,您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户或RAM角色权限过大的情况,请谨慎操作。AliyunMaxComputeReadOnlyAccess
:此策略将包含上述MaxCompute接入RAM的所有列表操作(List)和读操作(Get)权限点,您可以直接给RAM用户或RAM角色授权此权限策略。
RAM自定义策略。
您可以通过RAM控制台创建自定义权限策略以进行精细化的权限管控,详情请参见创建自定义权限策略。RAM策略包含版本号(Version)和授权语句(Statement),每条授权语句又包含授权效力(Effect)、操作(Action)、资源(Resource)以及可选的限制条件(Condition)。其中Action和Resource参数值取自权限点列表中的Action和ARN(Aliyun Resource Name),详情请参见权限点列表;Condition参数值取自条件说明,详情请参见条件(Condition)说明。更多权限策略的语法和结构内容请参见权限策略语法和结构。
自定义权限策略示例如下。
支持MaxCompute Project对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota" ], "Resource": "*" } ] }
支持MaxCompute Quota对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule" ], "Resource": "*" } ] }
不允许创建非加密的MaxCompute项目权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }
- 本页导读 (1)