MaxCompute新增租戶層級的許可權管理方式,實現Quota、Networklink等對象授權。本文為您介紹租戶層級角色授權流程、許可權命令和管理租戶許可權。
背景資訊
當前MaxCompute的Project、Table、Function、Resource、Instance等對象的操作許可權都是Project層級,使用者需要添加到Project中再進行授權管理。本文將介紹Quota和NetworkLink對象的Action通過Policy方式授權給租戶角色。
使用限制
僅阿里雲帳號或者具備租戶層級Super_Administrator和Admin角色的使用者可操作租戶層級許可權管理。
租戶層級許可權只能通過租戶角色(Role)進行許可權控制。
租戶角色(Role)只能通過Policy方式授權。
租戶層級角色授權流程
建立租戶角色t_role1。
通過Policy方式給租戶角色t_role1授權。
將使用者添加為租戶成員。
將租戶角色t_role1授權給使用者。
相關租戶層級許可權命令
涉及許可權命令的 SQL語句:
--以下命令可在本租戶內可執行檔project裡發起。
--添加/刪除user到租戶
Add tenant user <user_name>;
Remove tenant user <user_name>;
--查看租戶中的users、roles
List tenant users;
List tenant roles;
--建立/刪除租戶層級role
Create tenant role <role_name>;
drop tenant role <role_name>;
-- 將租戶role授權/移除user
Grant tenant role <rolename> to user <user_name>;
Revoke tenant role <rolename> from user <user_name>;
--將租戶role加入/刪除到project
add tenant role <rolename> to project <projectname>;
remove tenant role <rolename> from project <projectname>;
--查看租戶role/user的許可權
Show grants for tenant role <role_name>;
Show grants for tenant user <user_name>;
Show principals for tenant [role] <role_name>;
通過MaxCompute控制台管理租戶許可權
新增租戶角色。
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列單擊租戶管理。
在租戶管理頁面,單擊角色管理
在角色管理頁簽,單擊新增角色。
在新增角色對話方塊,配置下表所列資訊。
參數名稱
說明
角色名稱
建立賬戶層級角色的名稱。在阿里雲帳號內唯一。命名需要滿足如下要求:
以字母開頭。
只能包含字母、底線(_)或數字。
長度為6~64個字元。
policy內容
角色的權限原則。您可以直接在介面上根據原則範本編輯策略代碼。
policy內容樣本:對於
networklink對象表示允許對所有networklinks進行CreateNetworkLink和Execute操作。對於Quota對象表示允許對所有Region下所有Quota進行Usage操作。{ "Statement":[ { "Action":[ "odps:CreateNetworkLink", "odps:List", "odps:Execute" ], "Effect":"Allow", "Resource":[ "acs:odps:*:networklinks/*" ] }, { "Action":[ "odps:Usage" ], "Effect":"Allow", "Resource":[ "acs:odps:*:regions/*/quotas/*" ] } ], "Version":"1" }單擊確定,建立成功則在角色列表中顯示。 具體角色授權請參見租戶層級角色授權。
在租戶管理頁面,單擊使用者管理,可以進行租戶層級使用者管理,可以新增使用者(僅當前主帳號下的子帳號),同時給使用者授予租戶層級角色。
管理租戶角色。
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列單擊租戶管理。
在租戶管理頁面,單擊角色管理
在角色列表的操作列可以進行查看、刪除、修改角色。
管理租戶使用者。
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列單擊租戶管理。
在租戶管理頁面,單擊使用者管理。
可以進行租戶層級使用者管理,可以新增使用者(僅當前主帳號下的子帳號),同時給使用者授予租戶層級角色。