通過阿里雲帳號開通DLA服務後,如果您的組織裡有多個使用者需要使用DLA服務,這些使用者只能共用使用您的阿里雲帳號AccessKey,您的AccessKey存在泄漏的風險,且您無法控制使用者的操作許可權。此時您可以建立RAM帳號,並授予RAM帳號對應的操作許可權,讓您的使用者通過RAM帳號來訪問或管理DLA服務。
權限原則
權限原則分為系統策略和自訂策略。
系統策略:阿里雲提供多種具有不同許可權的預設權限原則。雲原生資料湖分析DLA使用的系統策略如下:
AliyunDLAFullAccess:管理DLA的許可權,包括對DLA中所有資源的所有操作許可權。
AliyunDLADeveloperAccess:開發人員許可權,與AliyunDLAFullAccess策略相比,不授予虛擬叢集的建立、修改、釋放等操作許可權。
AliyunDLAReadOnlyAccess:DLA資源唯讀訪問的許可權,支援查看虛擬叢集,查看作業等操作許可權。
系統策略的更多資訊,請參見DLA系統策略功能說明。
自訂策略:需要您精準地設計權限原則,適用於熟悉阿里雲各種雲端服務API以及具有精細化控制需求的使用者。
操作步驟
以使用主帳號在RAM控制台建立一個RAM使用者,並授予自訂許可權或者系統許可權為例,操作步驟如下。
1.建立RAM帳號
如何建立RAM帳號,請參見建立RAM使用者。
2.(可選)建立自訂策略
除了使用DLA提供的系統許可權,您還可以在RAM控制台建立自訂權限原則,實現精微調權限管理。
如何建立自訂權限原則,請參見建立自訂權限原則。
3.為RAM帳號授權
為RAM帳號授權後,RAM帳號可以訪問相應的阿里雲資源。
如何為RAM帳號授權,請參見為RAM使用者授權。
DLA系統策略功能說明
功能 | DLAFullAccess | DLADeveloperAccess | DLAReadonlyAccess |
查看虛擬叢集列表 | ✔️ | ✔️ | ✔️ |
新增虛擬叢集 | ✔️ | ❌ | ❌ |
修改虛擬叢集 | ✔️ | ❌ | ❌ |
釋放虛擬叢集 | ✔️ | ❌ | ❌ |
查看叢集標籤列表 | ✔️ | ✔️ | ✔️ |
增加叢集標籤 | ✔️ | ❌ | ❌ |
刪除叢集標籤 | ✔️ | ❌ | ❌ |
查看Spark作業列表 | ✔️ | ✔️ | ✔️ |
提交Spark作業 | ✔️ | ✔️ | ❌ |
查看Spark作業 | ✔️ | ✔️ | ✔️ |
停止Spark作業 | ✔️ | ❌ | ❌ |
執行Spark代碼塊 | ✔️ | ✔️ | ❌ |
查看Spark代碼塊列表 | ✔️ | ✔️ | ✔️ |
終止Spark代碼塊 | ✔️ | ❌ | ❌ |
查看Spark代碼資訊 | ✔️ | ✔️ | ✔️ |
查看湖倉列表 | ✔️ | ✔️ | ✔️ |
建立湖倉 | ✔️ | ❌ | ❌ |
Dump湖倉DSL描述 | ✔️ | ❌ | ✔️ |
查看湖倉相關所有表進度 | ✔️ | ✔️ | ✔️ |
查看Workload列表 | ✔️ | ✔️ | ✔️ |
建立Workload | ✔️ | ❌ | ❌ |
刪除Workload | ✔️ | ❌ | ❌ |
啟動Workload | ✔️ | ❌ | ❌ |
停止Workload | ✔️ | ❌ | ❌ |
重做校正Workload | ✔️ | ❌ | ❌ |
Dump Workload的DSL | ✔️ | ❌ | ✔️ |
檢查Workload輸出Prefix首碼是否已存在 | ✔️ | ✔️ | ✔️ |
查看下Workload任務的Log或者Spark UI | ✔️ | ✔️ | ✔️ |
查看Workload的所有表進度 | ✔️ | ✔️ | ✔️ |