MaxCompute:プロジェクトの管理

権限

• Alibaba Cloudアカウント: プロジェクト内のすべてのリソースに対するクエリ権限と操作権限を含む、プロジェクト管理に必要なすべての権限。

• RAM ユーザー：

  • プロジェクトリスト内のプロジェクトをRAMユーザーとして表示するには、RAMユーザーがプロジェクトに追加されていることを確認する必要があります。

  • プロジェクトの既定のクォータを作成、削除、または変更したり、プロジェクトをRAMユーザーとしてフリーズまたは復元したりするには、Resource Access Management (RAM) コンソールで関連するポリシーをRAMユーザーにアタッチする必要があります。 詳細は、「RAM権限」をご参照ください。

  • RAMユーザーとしてプロジェクト構成ページでパラメーターを構成し、ロールの権限とパッケージを管理するには、RAMユーザーに組み込みロールAdminまたはSuper_Administratorを割り当てるか、必要なプロジェクト管理権限を付与する必要があります。 プロジェクト管理権限の詳細については、「MaxCompute権限」の「プロジェクト管理の権限」セクションをご参照ください。

注意事項

プロジェクトの作成

MaxComputeコンソールで作成されたプロジェクトは、さまざまなクライアントで使用できます。 DataWorksは、統合されたエンドツーエンドのビッグデータ開発およびガバナンスプラットフォームを提供し、MaxComputeと統合されています。 標準モードのDataWorksワークスペースを既存のMaxComputeプロジェクトに関連付けることはできません。 DataWorksコンソールでMaxComputeプロジェクトを作成して使用することを推奨します。 詳細については、「ワークスペースの作成」をご参照ください。

1. MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。

2. 左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。

3. On theプロジェクトページをクリックします。プロジェクトの作成. をクリックします。

4. では、プロジェクトの作成ダイアログボックスで、プロンプトに従ってパラメーターを設定します。

   次の表に、注意が必要なパラメーターを示します。

   パラメーター	説明
   プロジェクト名	名前は3 ~ 28文字で、英数字、アンダースコア (_) を使用できます。 名前は文字で始まり、グローバルに一意である必要があります。
   Billing Method	コンピューティングリソースの課金方法。デフォルトのクォータグループの課金方法でもあります。
   デフォルトのクォータ	クォータグループは、コンピューティングリソースの割り当てに使用されます。 プロジェクトにクォータグループを指定しない場合、プロジェクトによって開始されたジョブは、既定のクォータグループ内のコンピューティングリソースを消費します。 コンピューティングリソースの使用方法の詳細については、「コンピューティングリソースのクォータグループの使用」をご参照ください。
   SQLステートメントによって消費される最大リソース	SQLジョブで使用できるリソースの上限。 式: スキャンされたデータの量 (GB) × 複雑さ。 このパラメーターはオプションです。 課金方法で従量課金を選択した場合、このパラメーターを設定して、1つのSQLジョブが過剰なリソースを消費しないようにすることを推奨します。 また、コンピューティングジョブによって消費されるリソースを監視するようにリアルタイム消費制御を構成することをお勧めします。 これにより、リソースの大量消費を防ぐことができます。 詳細については、「消費制御」をご参照ください。
   データ型エディション	MaxComputeのデータ型エディション。 有効な値: MaxCompute V1.0 Data Type Edition (初期のMaxComputeプロジェクトに適しています) 、MaxCompute V2.0 Data Type Edition (推奨) 、Hive-Compatible Data Type Edition (Hadoopから移行したMaxComputeプロジェクトに適しています) 。 ビジネス要件に基づいてデータ型エディションを選択します。 3つのデータ型エディションの違いの詳細については、「データ型エディション」をご参照ください。
   Encrypt	作成するMaxComputeプロジェクトのデータ暗号化機能を有効にするかどうかを指定します。 データ暗号化の詳細については、「ストレージ暗号化」をご参照ください。 [はい] を選択した場合、次の項目を指定する必要があります。 Key: MaxComputeプロジェクトで使用されるキーの型。 MaxCompute Default KeyまたはBring Your Own Key (BYOK) を選択できます。 [MaxCompute Default Key] を選択した場合、MaxComputeがプロジェクト用に自動的に作成するキーが使用されます。 アルゴリズム: キーでサポートされている暗号化アルゴリズム。 有効な値: AES256、AESCTR、およびRC4。

5. OK. をクリックします。

   MaxComputeプロジェクトの作成後、[プロジェクト] ページでこのプロジェクトを表示できます。 ターゲットプロジェクトの上にマウスを置き、アイコンをクリックして、次のリストに追加できます。 その後、[概要] ページの [自分のフォロー] セクションでプロジェクトを表示できます。

   作成したプロジェクトで次の操作を実行できます。

   • プロジェクトのプロパティを管理および構成します。 詳細については、「プロジェクトの設定」をご参照ください。

   • プロジェクト内のデータに対する権限を管理します。 Alibaba CloudアカウントのRAMユーザーにロールを割り当て、ロールに基づいて権限を管理できます。 詳細については、「ロール管理」をご参照ください。

   • MaxComputeプロジェクトの開発環境を準備し、プロジェクトのデータ開発に必要なツールをインストールします。 詳細については、「接続ツールの選択」をご参照ください。

   • MaxComputeプロジェクトを削除します。 詳細については、「プロジェクトの削除」をご参照ください。

プロジェクトの設定

1. MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。

2. 左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。

3. プロジェクトページで、目的のプロジェクトを見つけて、管理で、アクション列を作成します。

4. パラメーターを設定します。

   1. On theプロジェクト設定ページをクリックし、パラメーター設定タブをクリックします。

   2. [パラメーター設定] タブで、パラメーターを設定します。 下表にパラメーターを示します。

      説明

      • 基本情報セクションでパラメーターを設定する前に、関連する権限が付与されているかどうかを確認します。 権限の詳細については、「RAM権限」をご参照ください。 基本プロパティセクションでパラメーターを設定するには、プロジェクトのSuper_Administratorロールを割り当てる必要があります。

      • [Permission Properties] セクションと [IP Address Whitelist] セクションでパラメーターを設定するには、プロジェクトのSuper_Adminstratorまたは管理者ロールを割り当てるか、カスタム管理権限を付与する必要があります。 管理権限の詳細については、「MaxCompute権限」をご参照ください。

      セクション	パラメーター	説明
      基本情報	デフォルトのクォータ	プロジェクトのデフォルトのクォータグループ。 ビジネス要件に基づいて、デフォルトのクォータグループを変更できます。
      	合計ストレージ	プロジェクトが占有するストレージスペース。プロジェクトデータが収集されて圧縮された後の論理ストレージスペースです。
      	Data Transmission Service	プロジェクトにバインドされているデータ送信サービスのリソースグループ。 ドロップダウンリストから [default] を選択した場合、データ送信サービスの共有リソースグループが使用されます。 データ送信サービスのサブスクリプションベースのリソースグループは使用できません。 デフォルトのリソースグループは、[デフォルトとしてデータ送信サービスを有効にする] をオンにするかどうかに関係なく、プロジェクトのデータ送信サービスによって自動的に使用されます。
      	デフォルトとしてデータ送信サービスを有効にする	プロジェクトにバインドされているリソースグループをデータ送信タスクに使用するかどうかを指定します。 このスイッチをオンにすると、データ送信タスクはプロジェクトにバインドされているリソースグループを使用します。 このスイッチをオフにすると、データ送信タスクはデータ送信サービスの共有リソースグループを使用します。
      スーパー管理者	メンバー	プロジェクトのSuper_Adminstratorロールのメンバー。 [スーパー管理者] セクションでロールメンバーを表示または編集できます。 設定は、[ロールの権限] タブに表示される [Super_Adminstrator] ロールのメンバーと同じです。 ただし、このパラメーターはRAM権限の検証をサポートします。 RAMユーザーにUpdateUsersToSuperAdmin権限が付与された後、プロジェクトのSuper_AdminstratorロールメンバーをRAMユーザーとして設定できます。 詳細は、「RAM権限」をご参照ください。
      基本プロパティ	パーティション化されたテーブルのフルテーブルスキャン	プロジェクトのテーブル全体のスキャンを許可するかどうかを指定します。 このパラメーターは、sql文のodps. SQL. allow.fullscanプロパティに相当します。 フルテーブルスキャンは大量のリソースを占有し、データ処理効率を低下させます。 したがって、この機能を有効にしないことを推奨します。
      	バックアップデータ保持期間	プロジェクトのバックアップデータが保持される日数。 このパラメーターは、SQL文のodps.timemachine.retention.daysプロパティに相当します。 保存期間中に、使用中のバージョンのデータを任意のバージョンのバックアップデータに復元できます。 有効な値: 0 ~ 30。 デフォルト値：1 値0は、バックアップ機能が無効であることを示します。
      	データ型エディション	有効な値: MaxCompute V1.0 Data Type Edition (初期のMaxComputeプロジェクトに適しています) 、MaxCompute V2.0 Data Type Edition (推奨) 、Hive-Compatible Data Type Edition (Hadoopから移行したMaxComputeプロジェクトに適しています) 。 3つのデータ型エディションの違いの詳細については、「データ型エディション」をご参照ください。
      	MaxCompute V2.0のDECIMAL	MaxCompute V2.0データ型エディションのDECIMAL型を有効にするかどうかを指定します。 このパラメーターは、SQL文のodps.sql.de cimal.odps2に相当します。
      	単一のSQLステートメントによって消費されるリソースの制限	SQLジョブで使用できるリソースの上限。 このパラメーターは、sql文のodps. SQL. metering.value.maxパラメーターに相当します。 詳細については、「消費コントロール」をご参照ください。 式: スキャンされたデータの量 (GB) × 複雑さ。
      	ストレージ暗号化ステータス	このパラメーターは、プロジェクトを作成するときにのみ設定できます。 このパラメーターを設定すると、パラメーター設定のみを表示できますが、設定を編集することはできません。
      	ライフサイクルの設定	プロジェクトのテーブルのライフサイクルを設定するかどうかを指定します。 このパラメーターは、SQL文のodps.table.lifecycleパラメーターに相当します。 有効な値： optional: テーブル作成ステートメントでは、ライフサイクル句はオプションです。 テーブルのライフサイクルを設定しない場合、テーブルは期限切れになりません。 必須: ライフサイクル句は、テーブル作成ステートメントで必須です。 inherit: テーブルの作成時にテーブルのライフサイクルを設定しない場合、SQL文のodps.table.lifecycle.valueの値がデフォルトで使用されます。 odps.table.lifecycle.valueの値は、日単位で指定されます。 有効な値: 1 ~ 37231 デフォルト値: 37231
      	タイムゾーン	プロジェクトで使用されるタイムゾーン。 このパラメーターは、sql文のodps. SQL. timezoneパラメーターに相当します。
      権限のプロパティ	ACLベースのアクセス制御	ACLベースのアクセス制御を有効にするかどうかを指定します。 このパラメーターは、SQL文のCheckPermissionUsingACLパラメーターに相当します。 デフォルトでは、ACLベースのアクセス制御が有効になっています。
      	ポリシーベースのアクセス制御	ポリシーベースのアクセス制御を有効にするかどうかを指定します。 このパラメーターは、SQL文のCheckPermissionUsingACLパラメーターに相当します。 デフォルトでは、ポリシーベースのアクセス制御が有効になっています。
      	オブジェクト作成者によるオブジェクトの操作の実行	オブジェクト作成者がオブジェクトにアクセスできるようにするかどうかを指定します。 このパラメーターは、SQL文のObjectCreatorHasAccessPermissionプロパティに相当します。 デフォルト値はAllowです。これは、オブジェクト作成者がオブジェクトにアクセスできることを示します。
      	オブジェクト作成者によるオブジェクトへの権限付与	オブジェクト作成者がオブジェクトに対する権限を付与できるようにするかどうかを指定します。 このパラメーターは、SQL文のObjectCreatorHasGrantPermissionプロパティに相当します。 既定値はAllowです。これは、オブジェクト作成者がオブジェクトに対する権限を付与できることを示します。
      	ラベルベースのアクセス制御	ラベルベースのアクセス制御を有効にするかどうかを指定します。 このパラメーターは、SQL文のLabelSecurityパラメーターに相当します。 デフォルトでは、ラベルベースのアクセス制御は有効になっていません。
      	プロジェクトデータ保護	プロジェクトデータ保護を有効にするかどうかを指定します。 このパラメーターは、SQL文のProjectProtectionパラメーターに相当し、データの流出を許可または禁止するために使用されます。 プロジェクトデータ保護を有効にした場合、Exception Trusted projectを指定できます。 プロジェクトデータ保護の詳細については、「プロジェクトデータ保護」をご参照ください。
      	ダウンロード権限	ダウンロード制御を有効にするかどうかを指定します。 このパラメーターは、SQL文のodps.security.enabledownloadprivilegeパラメーターに相当します。
      IPアドレスホワイトリスト	クラウド製品相互接続ネットワークIPアドレス	クラウド製品相互接続ネットワーク経由でプロジェクトにアクセスすることを許可されているIPアドレスのホワイトリスト。 説明 クラウド製品相互接続ネットワークに対してのみIPアドレスホワイトリストを設定する場合、IPアドレスホワイトリスト内のIPアドレスまたはCIDRブロックのみがクラウド製品相互接続ネットワーク経由でMaxComputeにアクセスできます。 仮想プライベートクラウド (VPC) を介したアクセス要求は拒否されます。
      	VPC IPアドレス	VPC経由でプロジェクトへのアクセスを許可されているIPアドレスのホワイトリスト。 説明 VPCにのみIPアドレスホワイトリストを設定する場合、IPアドレスホワイトリスト内のIPアドレスまたはCIDRブロックのみがVPC経由でMaxComputeにアクセスできます。 クラウド製品相互接続ネットワークを介したアクセス要求は拒否される。
      MaxComputeインターネット	MaxComputeインターネットアドレス	アクセスするパブリックIPアドレスまたはエンドポイントとポート番号を追加または削除できます。 詳細については、「インターネット経由のアクセス」をご参照ください。

5. ロールを管理します。

   [ロールの権限] タブでは、プロジェクトのロールを管理できます。 たとえば、ロールの追加と削除、ロール情報の変更、ユーザーへのロールの割り当てなどができます。

   説明

   デフォルトでは、Alibaba Cloudアカウントのみがプロジェクトのロールを管理する権限を持っています。 RAMユーザーとしてロールを管理する場合は、プロジェクトの管理者ロールをRAMユーザーに割り当てる必要があります。

   1. プロジェクト設定ページで、ロール権限タブをクリックします。

   2. ロール権限タブでプロジェクトレベルの役割の作成をクリックします。

   3. では、ロールの作成ダイアログボックスで、ロールを作成し、プロンプトに従ってロールに権限を付与します。

      管理者ロールまたはリソースロールを作成できます。 権限付与方法をACLまたはポリシーに設定できます。 さまざまなオブジェクトの権限の詳細については、「MaxCompute権限」をご参照ください。

      • ACL: ACLベースのアクセス制御を使用して、プロジェクト内の複数のオブジェクトに対する権限を一度にリソースロールに付与できます。

        説明

        承認リクエストを送信した後、承認が成功するまでプログレスバーまたはページを閉じないでください。 それ以外の場合、承認は中断されます。

      • ポリシー: ACLベースのアクセス制御が、管理者ロールまたはリソースロールの権限を管理するための要件を満たすことができないシナリオで、ポリシーベースのアクセス制御を使用できます。 たとえば、名前が特定の文字で始まるすべてのテーブルやテーブルなど、リソースのグループにアクセス許可を付与する場合や、特定の制限があるポリシーを使用してアクセス許可を付与する場合は、ポリシーベースのアクセス制御を使用できます。 ワイルドカード (*) を使用して、名前が特定の文字で始まるテーブルを指定できます。

        ポリシー文書の例

        • 管理者ロールにすべての管理権限を付与します。

          {
              "Statement":[
                  {
                      "Action":[
                          "odps:*"
                      ],
                      "Effect":"Allow",
                      "Resource":[
                          "acs:odps:*:projects/project_name/authorization/*"
                      ]
                  }
              ],
              "Version":"1"
          }

        • プロジェクト内で名前がtmpで始まるすべてのテーブルに対するクエリ権限をリソースロールに付与します。

          {
              "Statement":[
                  {
                      "Effect":"Allow",
                      "Action":[
                          "odps:Describe",
                          "odps:Select"
                      ],
                      "Resource":[
                          "acs:odps:*:projects/project_name/tables/tmp_*",
                          "acs:odps:*:projects/project_name/schemas/*/tables/tmp_*"
                      ]
                  }
              ],
              "Version":"1"
          }

   4. OK.をクリックします。

   ロールに関するその他の操作:

   • ロールに関する情報の表示

     [ロールの権限] タブで、組み込みのSuper_AdministratorロールとAdminロールを含む、プロジェクト内のすべてのロールを表示します。 ロールの [操作] 列で [ロールの編集] をクリックします。 表示されるダイアログボックスで、ロールに付与されている権限を表示できます。

     説明

     ロールの作成時に権限付与方法をポリシーに設定すると、ポリシードキュメントが [ロールの編集] ダイアログボックスに表示されます。 ロールの作成時に権限付与方法をACLに設定した場合、ロールの権限に多くのテーブル、リソース、および関数が含まれている場合、ロールの権限を完全に表示することはできません。 この場合、オブジェクトを検索し、このオブジェクトに対する権限がロールに付与されているかどうかを確認できます。 describe role <role_name>; ステートメントを実行して、ロールの権限を表示することもできます。

   • ロールの権限の編集

     ロールの [操作] 列で [ロールの編集] をクリックします。 ロールの作成時に [権限付与方法] を [ACL] に設定した場合、ロールに対してオブジェクトに対するアクションを追加または削除したり、ロールに対してオブジェクトに対する権限を付与または取り消すことができます。 目的のオブジェクトが表示されない場合は、ステートメントを実行できます。 詳細については、「プロジェクトレベルの役割に基づくアクセス制御の実行」をご参照ください。

     説明

     • MaxComputeプロジェクトがDataWorksワークスペースに関連付けられている場合、DataWorksはMaxComputeプロジェクトのロールを初期化します。 これらのロールには、DataWorksのビジネスロジックに準拠した固定の権限があります。 これらのロールは更新しないことを推奨します。 DataWorksによって初期化されるロールの詳細については、「付録: DataWorks組み込みワークスペースレベルのロールとMaxComputeロールの間のマッピング」をご参照ください。

     • ACLを使用して多数のオブジェクトに対する権限をロールに付与すると、タイムアウトのために [ロールの編集] ダイアログボックスが開かれない場合があります。 タイムアウトが発生した場合、コマンドを実行して、ロールのACLベースの権限を表示および編集することのみができます。

   • ロールが割り当てられているユーザーの表示

     ロールの [操作] 列で、[メンバーの管理] をクリックします。 [メンバーの管理] ダイアログボックスでは、このロールが割り当てられているユーザーを表示したり、ユーザーにロールを割り当てたり、ユーザーからロールの権限を取り消すことができます。

   • ロールの削除

     ロールの [操作] 列で [削除] をクリックして、MaxComputeプロジェクトの既存のロールを削除します。 この操作は、drop role <role_name>; ステートメントの実行と同等です。 詳細については、「ロールプランニング」をご参照ください。

   • テナントレベルのロールの有効化または無効化

     [ロール権限] タブで、[ロールレベル] ドロップダウンリストから [テナント] を選択します。 ロールの [操作] 列の [有効化] または [無効化] をクリックして、このロールを有効化または無効化します。

     説明

     プロジェクト内のオブジェクトに対する権限がロールに付与されている場合、ロールはオブジェクトを有効にした後にのみ有効になります。

6. パッケージを設定します。

   ユーザーまたはロールがMaxComputeプロジェクト全体のリソースにアクセスできるようにする場合は、パッケージを使用することを推奨します。 パッケージは、テーブル、リソース、および関数へのプロジェクト間アクセスに適していますが、コンピューティングリソースには適していません。 また、ユーザーやロールに権限を割り当てることなく、権限管理にパッケージを使用することもできます。 パッケージには、リソースプロバイダーとリソース訪問者が含まれます。 次のセクションでは、パッケージを使用したプロジェクト間リソースアクセスのプロセスについて説明します。

   1. リソースプロバイダーは、パッケージとリソースを共有します。

      1. [パッケージ] タブで、[パッケージの作成] をクリックします。

      2. [パッケージの作成] ダイアログボックスで、[パッケージ名] を設定し、共有するテーブル、リソース、および関数を指定します。

      3. [OK] をクリックします。

      4. 作成したパッケージを見つけ、[操作] 列の [プロジェクトの指定] をクリックします。

      5. [プロジェクトの指定] ダイアログボックスで、このパッケージを使用できるプロジェクトの名前を [プロジェクト名] フィールドに入力します。

      6. [確認]をクリックします。

   2. リソース訪問者がリソースにアクセスします。

      1. [パッケージ] タブで、[パッケージのインストール] をクリックします。

      2. [パッケージのインストール] ダイアログボックスで、アクセスするパッケージの名前を入力します。

      3. [OK] をクリックします。

      4. (オプション) パッケージに対する権限をロールに付与し、そのロールをユーザーに割り当てます。 詳細については、「ロールの管理」をご参照ください。

7. プロジェクトメンバーを表示します。

   MaxComputeプロジェクトデータへのアクセス権をユーザーに付与するには、ユーザーをプロジェクトに追加し、適切な権限を割り当てる必要があります。 [プロジェクト設定] ページで、[プロジェクトメンバー] タブをクリックします。 [プロジェクトメンバー] タブでは、プロジェクト内のすべてのユーザーの権限を表示できます。

プロジェクトステータスの変更

1. MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。

2. 左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。

3. On theプロジェクトページ、目的のプロジェクトを見つけて、フリーズまたは復元で、アクション列を作成します。

4. 確認メッセージで、OK. をクリックします。

プロジェクトの削除

1. MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。

2. 左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。

3. On theプロジェクトページ、目的のプロジェクトを見つけて、削除で、アクション列を作成します。

4. では、プロジェクトの削除ダイアログボックスで、削除方法を選択し、確認のチェックボックスをオンにして、OK. をクリックします。

プロジェクトタグの管理

MaxComputeプロジェクトにタグを追加したり、MaxComputeプロジェクトからタグを削除したりできます。 タグの使用方法とタグの使用制限の詳細については、タグとは. をご参照ください。

1. MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。

2. 左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。

3. タグを追加します。

   • プロジェクトのタグを追加します。

     1. プロジェクトの [タグ] 列のアイコンの上にポインターを移動し、[編集] を選択します。

     2. [タグの設定] ダイアログボックスで、[タグキー] と [タグ値] を指定します。

     3. [OK] をクリックします。 [タグの設定に成功] メッセージで、[閉じる] をクリックします。

   • 一度に複数のプロジェクトのタグを追加します。

     1. タグを追加するプロジェクトを選択し、ページの下部にある [タグの一括追加] をクリックします。

     2. [タグの設定] ダイアログボックスで、[タグキー] と [タグ値] を指定します。

     3. [OK] をクリックします。 [タグの設定に成功] メッセージで、[閉じる] をクリックします。

4. タグでプロジェクトをフィルターします。

   プロジェクトにタグを追加した後、タグフィルタードロップダウンリストからタグキーまたはタグ値を選択してプロジェクトをフィルター処理できます。

5. オプション。 タグを削除します。

   • プロジェクトからタグを削除します。

     1. プロジェクトの [タグ] 列のアイコンの上にポインターを移動し、[編集] をクリックします。

     2. [タグの設定] ダイアログボックスで、目的のタグの横にあるアイコンをクリックします。

     3. [OK] をクリックします。 [タグの設定に成功] メッセージで、[閉じる] をクリックします。

   • 一度に複数のプロジェクトからタグを削除します。

     1. タグを削除するプロジェクトを選択し、ページの下部にある [タグの一括削除] をクリックします。

     2. [複数のリソースのタグの削除] ダイアログボックスで、削除するタグを選択します。

     3. [xタグのバインド解除] をクリックします。 [タグの設定に成功] メッセージで、[閉じる] をクリックします。