MaxComputeでは、Alibaba Cloudアカウント、RAM (Resource access Management) ユーザー、またはRAMロールを使用してMaxComputeプロジェクトにアクセスできます。 このトピックでは、3つのアクセス方法について説明します。
背景情報
MaxComputeでは、Alibaba Cloudアカウント、RAMユーザー、またはRAMロールをID認証に使用できます。 IDが有効な場合にのみ、MaxComputeにアクセスできます。
Alibaba Cloudアカウントを使用したMaxComputeへのアクセス
Alibaba Cloudアカウントの所有者は、このアカウントに属するすべてのリソースを完全に運用管理できます。
MaxComputeを使用するように他のユーザーを招待する場合は、RAMユーザーを作成し、そのRAMユーザーに必要な権限を付与できます。
RAMロールは、Alibaba Cloudアカウント内で作成できる仮想RAM IDです。 RAMロールには、特定のログインパスワードまたはAccessKeyペアはありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。
Alibaba Cloudアカウントを使用したMaxComputeへのアクセス
Alibaba CloudアカウントでMaxComputeにアクセスするには、次の手順を実行します。
オプション: Alibaba Cloudアカウントを作成し、アカウント認証を完了し、AccessKeyペアを作成します。 詳細については、「Alibaba Cloudアカウントの作成」をご参照ください。
説明AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 AccessKey IDはAccessKeyの取得に使用され、AccessKey secretはリクエストの署名の計算に使用されます。 さらに使用するには、AccessKeyペアの機密を保持する必要があります。 AccessKeyペアを更新するには、別のペアを作成し、既存のペアを無効にする必要があります。
AccessKeyペアを有効または無効にするには、約15分かかります。
作成したAlibaba CloudアカウントまたはAccessKeyペアを使用して、MaxComputeにアクセスします。
方法1: Alibaba Cloudアカウントを使用して
Alibaba Cloud公式サイト MaxComputeコンソールまたはDataWorksコンソールにログインし、MaxComputeのアクティブ化、MaxComputeプロジェクトの作成、データの管理、ユーザーの管理、データの分析などの操作を実行します。
方法2: MaxComputeクライアント (odpscmd) を使用して、AccessKeyペアを使用してMaxComputeプロジェクトにアクセスします。 クライアント設定ファイルodps_config.iniでAccessKeyペアの情報を設定する必要があります。 詳細については、「MaxComputeクライアントのインストールと設定」をご参照ください。
方法3: SDKを使用して、AccessKeyペアを使用してMaxComputeプロジェクトにアクセスします。 詳細については、「SDK For Java」または「SDK for Python」をご参照ください。
説明AccessKeyペアを厳密に機密にしてください。 AccessKeyペアの漏洩は、アカウントに属するすべてのクラウドリソースを危険にさらす可能性があります。 したがって、Alibaba Cloudアカウントを直接使用して定期的なMaxCompute操作を実行しないことを推奨します。
RAMユーザーを使用したMaxComputeへのアクセス
デフォルトでは、MaxComputeプロジェクトはAlibaba Cloudアカウントシステムのみを認識します。 RAMアカウントシステムのサポートを手動で追加できます。 RAMユーザーの資格情報を使用してMaxComputeにアクセスするには、次の手順を実行します。
オプション: MaxComputeプロジェクトでサポートされているアカウントシステムを表示し、RAMアカウントシステムのサポートを追加します。
MaxComputeクライアント (odpscmd) にログインし、
add accountprovider ram;コマンドを実行してRAMアカウントシステムのサポートを追加します。list accountproviders;コマンドを実行して、MaxComputeプロジェクトにRAMアカウントシステムが追加されているかどうかを確認します。
Alibaba CloudアカウントのRAMユーザーを作成し、そのRAMユーザーをMaxComputeプロジェクトに追加します。 詳細については、「RAMユーザーの準備」および「ワークスペースメンバーの追加とロールの割り当て」をご参照ください。
説明MaxComputeプロジェクトはRAMアカウントシステムのみを認識します。 MaxComputeプロジェクトにRAMユーザーを追加すると、MaxComputeプロジェクトは、RAMに設定されたRAMユーザーの元の権限を認識しません。この場合、MaxComputeはRAMユーザーを認証しますが、RAMの権限定義は考慮しません。
RAMロールを使用したMaxComputeへのアクセス
RAMロールは特定の個人を表すものではありません。 RAMロールは他のユーザーが引き受けることができます。 さらに、RAMロールには、ID認証用のアカウント、パスワード、またはAccessKeyペアがありません。 ID認証には一時的なセキュリティトークン (STS) を使用する必要があります。
次のシナリオでは、RAMロールを使用してMaxComputeにアクセスできます。
ロールベースSSO: Alibaba Cloudと企業のID管理システムが連携してロールベースSSOを実装する場合、Alibaba Cloudはサービスプロバイダー (SP) であり、ID管理システムはIDプロバイダー (IdP) です。 ロールベースSSOを使用すると、IdPからAlibaba Cloudにユーザーを同期する必要なく、ローカルIdPでユーザーを管理できます。 さらに、企業の従業員は、特定のRAMロールを使用してAlibaba Cloudにログインできます。
クロスサービスアクセス: 信頼できるAlibaba CloudサービスのRAMロールを作成します。 これにより、信頼できるAlibaba CloudサービスはこのRAMロールを使用して別のサービスにアクセスできます。 MaxComputeでは、MaxComputeが共通のRAMユーザーを追加するのと同様の方法で、MaxComputeプロジェクトにRAMロールを追加できます。 MaxComputeは、データオブジェクトの作成、ジョブの実行、データの書き込み、データの読み取りなど、一般的なRAMユーザーの権限を管理するのと同じように、RAMロールの権限を管理します。 他のサービスは、このRAMロールを引き受けて、データ管理、データ分析、およびデータ交換のためにMaxComputeプロジェクトにアクセスできます。
RAMロールを作成し、RAMロールの信頼ポリシーを定義します。 RAMロールの作成方法の詳細については、信頼できるAlibaba CloudアカウントのRAMロールの作成、信頼できるIdPのRAMロールの作成、または信頼できるAlibaba CloudサービスのRAMロールの作成をご参照ください。 RAMロールの信頼ポリシーを定義する方法の詳細については、「RAMロールの信頼ポリシーの編集」をご参照ください。
MaxComputeプロジェクトにRAMロールを追加します。 詳細については、「RAMロールの追加 (プロジェクトレベル) 」をご参照ください。
RAMロールを使用してMaxComputeプロジェクトにアクセスします。 詳細については、「概要」をご参照ください。