子帳號使用DataWorks前如何準備RAM使用者 - DataWorks

在DataWorks工作空間進行任務開發前，阿里雲帳號需規劃並建立用於任務開發的RAM使用者並授權相應權限原則，以便在使用DataWorks時，可選擇並添加對應RAM使用者至具體空間內進行協同開發。本文為您介紹如何建立RAM使用者、建立RAM使用者的存取金鑰，以及如何為RAM使用者授權並將其交付給其它使用者使用。

背景資訊

如果您只需要本人體驗DataWorks，您可跳過此步。
如果您計劃邀請其它使用者協作使用DataWorks，請您根據本文的操作準備RAM使用者。

建立RAM使用者

主帳號需要先在阿里雲RAM控制台建立RAM使用者。

操作步驟

使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區，設定使用者基本資料。
- 登入名稱稱：可包含英文字母、數字、半形句號（.）、短劃線（-）和底線（_），最多64個字元。
- 顯示名稱：最多包含128個字元或漢字。
- 標籤：單擊，然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤，便於後續基於標籤的使用者管理。
說明
單擊添加使用者，可以大量建立多個RAM使用者。
在訪問方式地區，選擇訪問方式，然後設定對應參數。
為了帳號安全，建議您只選擇以下訪問方式中的一種，將人員使用者和應用程式使用者分離，避免混用。
- 控制台訪問
  如果RAM使用者代表人員，建議啟用控制台訪問，使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數：
  - 控制台登入密碼：選擇自動產生密碼或者自訂密碼。自訂登入密碼時，密碼必須滿足密碼複雜度規則。更多資訊，請參見設定RAM使用者密碼強度。
  - 密碼重設策略：選擇RAM使用者在下次登入時是否需要重設密碼。
  - 多因素認證（MFA）策略：選擇是否為當前RAM使用者啟用MFA。啟用MFA後，主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊，請參見為RAM使用者綁定MFA裝置。
- OpenAPI調用訪問
  如果RAM使用者代表應用程式，建議啟用OpenAPI調用訪問，使用存取金鑰（AccessKey）訪問阿里雲。啟用後，系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊，請參見建立AccessKey。
  重要
  RAM使用者的AccessKey Secret只在建立時顯示，不支援查看，請妥善保管。
單擊確定。
根據介面提示，完成安全驗證。

重要

RAM使用者建立完成後，務必儲存使用者名稱和登入密碼。

（可選）建立RAM使用者的存取金鑰

DataWorks層面任務執行已經不需要綁定AK，如果您有特殊需要，可以在RAM存取控制頁，為RAM使用者建立可用的AccessKey。如果雲帳號允許RAM使用者自主管理AccessKey，RAM使用者也可自行建立AccessKey。

為子帳號建立AccessKey的操作如下。

登入RAM控制台。
在左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊目標RAM使用者名稱稱。
在使用者AccessKey地區，單擊建立AccessKey。
在建立AccessKey對話方塊，查看AccessKey ID和AccessKey Secret。
您可以單擊下載CSV檔案，下載AccessKey資訊。單擊複製，複製AccessKey資訊。
單擊確定。

為RAM使用者授權DataWorks相關系統管理權限

DataWorks上對RAM使用者有外部許可權控制，如果您需要RAM使用者有相關許可權，則需要在RAM控制台為其授權。您可參考以下兩種方式授權。

方式一：在使用者頁面為RAM使用者授權

使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊目標RAM使用者操作列的添加許可權。
在添加許可權面板，為RAM使用者添加許可權。
1. 選擇授權應用範圍。
  - 整個雲帳號：許可權在當前阿里雲帳號內生效。
  - 指定資源群組：許可權在指定的資源群組內生效。
    說明
    指定資源群組授權生效的前提是該雲端服務已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
2. 指定授權主體。
  授權主體即需要添加許可權的RAM使用者。
3. 選擇權限原則。
  權限原則是一組存取權限的集合，包括：
  - 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。
  - 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。
  說明
  每次最多綁定5條策略，如需綁定更多策略，請分多次操作。
單擊確定。
單擊完成。

方式二：在授權頁面為RAM使用者授權

使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 授權。
在授權頁面，單擊新增授權。
在新增授權面板，為RAM使用者添加許可權。
1. 選擇授權應用範圍。
  - 整個雲帳號：許可權在當前阿里雲帳號內生效。
  - 指定資源群組：許可權在指定的資源群組內生效。
    說明
    指定資源群組授權生效的前提是該雲端服務已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
2. 指定授權主體。
  授權主體即需要添加許可權的RAM使用者。
3. 選擇權限原則。
  權限原則是一組存取權限的集合，包括：
  - 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。
  - 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。
  說明
  每次最多綁定5條策略，如需綁定更多策略，請分多次操作。
單擊確定。
單擊完成。

將RAM使用者交付其它使用者使用

如果您需要RAM使用者進行協同開發，除了準備RAM使用者外，您需要為其提供RAM使用者的登入地址，如果RAM使用者需要使用AccessKey，您需要將啟用狀態的AccessKey資訊提供給相應使用者。

說明

RAM使用者歸屬於主帳號，本身不擁有資源，也沒有獨立的計量計費。
RAM使用者在阿里雲各產品中操作產生的費用，將由建立這些RAM使用者的主帳號統一付費。
主帳號需要查看RAM使用者登入連結和自己的預設網域名稱或域別名，並告知所需使用的帳號。

交付RAM使用者給其它使用者使用時，需要提供如下資訊：

RAM使用者登入連結。
主帳號進入RAM存取控制 > 概覽頁面，複製使用者登入地址提供給RAM使用者。關於RAM使用者登入詳情可參考RAM使用者登入阿里雲控制台。
所屬主帳號的企業別名或預設網域名稱。
主帳號進入RAM存取控制 > 設定頁面，單擊進階設定，即可查看預設網域名稱和域別名。
該RAM使用者的使用者名稱和登入密碼。
該RAM使用者的Access Key ID和Access Key Secret。

同時，您需要確認：

已經允許RAM使用者啟用控制台登入。
已經允許RAM使用者自主管理AccessKey，詳情請參見管理RAM使用者安全設定。

後續步驟

準備好RAM使用者後，請建立工作空間進行資料開發等操作，詳情請參見建立工作空間。