全部產品
Search
文件中心

:租戶層級角色授權

更新時間:Jun 19, 2024

MaxCompute新增租戶層級的許可權管理方式,實現Quota、Networklink等對象授權。本文為您介紹租戶層級角色授權流程、許可權命令和管理租戶許可權。

背景資訊

當前MaxCompute的Project、Table、Function、Resource、Instance等對象的操作許可權都是Project層級,使用者需要添加到Project中再進行授權管理。本文將介紹Quota和NetworkLink對象的Action通過Policy方式授權給租戶角色。

使用限制

  • 僅阿里雲帳號或者具備租戶層級Super_Administrator和Admin角色的使用者可操作租戶層級許可權管理。

  • 租戶層級許可權只能通過租戶角色(Role)進行許可權控制。

  • 租戶角色(Role)只能通過Policy方式授權。

租戶層級角色授權流程

  1. 建立租戶角色t_role1。

  2. 通過Policy方式給租戶角色t_role1授權。

  3. 將使用者添加為租戶成員。

  4. 將租戶角色t_role1授權給使用者。

相關租戶層級許可權命令

涉及許可權命令的 SQL語句:

--以下命令可在本租戶內可執行檔project裡發起。

--添加/刪除user到租戶
    Add tenant user <user_name>;
    Remove tenant user <user_name>;
--查看租戶中的users、roles
    List tenant users;
    List tenant roles;
--建立/刪除租戶層級role
    Create tenant role <role_name>;
    drop tenant role <role_name>;
-- 將租戶role授權/移除user
    Grant tenant role <rolename> to user <user_name>;
    Revoke tenant role <rolename> from user <user_name>;

--將租戶role加入/刪除到project
    add tenant role <rolename> to project <projectname>;
    remove tenant role <rolename> from project <projectname>;

--查看租戶role/user的許可權
    Show grants for tenant role <role_name>;
    Show grants for tenant user <user_name>;
    Show principals for tenant [role] <role_name>;
                    

通過MaxCompute控制台管理租戶許可權

  • 新增租戶角色。

    1. 登入MaxCompute控制台,在左上方選擇地區。

    2. 在左側導覽列單擊租戶管理

    3. 租戶管理頁面,單擊角色管理

    4. 角色管理頁簽,單擊新增角色

    5. 新增角色對話方塊,配置下表所列資訊。

      參數名稱

      說明

      角色名稱

      建立賬戶層級角色的名稱。在阿里雲帳號內唯一。命名需要滿足如下要求:

      • 以字母開頭。

      • 只能包含字母、底線(_)或數字。

      • 長度為6~64個字元。

      policy內容

      角色的權限原則。您可以直接在介面上根據原則範本編輯策略代碼。

      policy內容樣本:對於networklink對象表示允許對所有networklinks進行CreateNetworkLinkExecute操作。對於Quota對象表示允許對所有Region下所有Quota進行Usage操作。

      {
          "Statement":[
              {
                  "Action":[
                      "odps:CreateNetworkLink",
                      "odps:List",
                      "odps:Execute"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                      "acs:odps:*:networklinks/*"
                  ]
              },
              {
                  "Action":[
                      "odps:Usage"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                      "acs:odps:*:regions/*/quotas/*"
                  ]
              }
          ],
          "Version":"1"
      }
    6. 單擊確定,建立成功則在角色列表中顯示。 具體角色授權請參見租戶層級角色授權

    7. 租戶管理頁面,單擊使用者管理,可以進行租戶層級使用者管理,可以新增使用者(僅當前主帳號下的子帳號),同時給使用者授予租戶層級角色。

  • 管理租戶角色。

    1. 登入MaxCompute控制台,在左上方選擇地區。

    2. 在左側導覽列單擊租戶管理

    3. 租戶管理頁面,單擊角色管理

    4. 在角色列表的操作列可以進行查看、刪除、修改角色。

  • 管理租戶使用者。

    1. 登入MaxCompute控制台,在左上方選擇地區。

    2. 在左側導覽列單擊租戶管理

    3. 租戶管理頁面,單擊使用者管理

      可以進行租戶層級使用者管理,可以新增使用者(僅當前主帳號下的子帳號),同時給使用者授予租戶層級角色。