MaxCompute部分資源管理類的操作只能通過管理主控台來完成,其中有些操作許可權通過RAM進行鑒權,本文為您介紹MaxCompute管理相關操作對接RAM的許可權點列表及權限原則。
許可權點列表
操作類別 | Action | ARN | ARN樣本 | 說明 |
專案管理 | odps:ListProjects | acs:odps:${region-id}:${resource-owner-id}:projects/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/* | 查看阿里雲帳號指定Region下的所有Project列表。 |
odps:CreateProject | 建立Project。 | |||
odps:GetProject | acs:odps:${region-id}:${resource-owner-id}:projects/${object-name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 擷取單個Project資訊。 | |
odps:DeleteProject | 刪除Project。 | |||
odps:UpdateProjectStatus | 凍結或恢複Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的預設Quota。 | |||
odps:UpdateUsersToSuperAdmin | acs:odps:${region-id}:${resource-owner-id}:projectUsers/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projectUsers/* | 設定專案超級管理員,即Super_Administrator角色。 | |
Quota管理 | odps:UpdateQuota | acs:odps:${region-id}:${resource-owner-id}:quotas/${object-name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 修改一級或二級Quota。 |
odps:UpdateQuotaPlan | 修改Quota計劃。 | |||
odps:UpdateSubQuotas | 建立二級自訂Quota。 | |||
odps:UpdateQuotaSchedule | 修改時間計劃。 | |||
odps:CreateQuotaPlan | 建立Quota計劃。 | |||
odps:DeleteQuotaPlan | 刪除Quota計劃。 | |||
odps:CreateQuotaSchedule | 建立時間計劃。 | |||
odps:CreateQuotaRoutingRule | acs:odps:${region-id}:${resource-owner-id}:quotaRoutingRules/${quotaPath} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotaRoutingRules/一級Quota名稱#二級Quota名稱 | 添加二級Quota規則。 | |
odps:RemoveQuotaRoutingRule | 移除二級Quota規則。 | |||
odps:UpdateQuotaRoutingRule | 修改二級Quota規則 | |||
網路連接(NetworkLink) | odps:ListNetworkLinks | acs:odps:${region-id}:${resource-owner-id}:networkLinks/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/* | 查看租戶下所有網路連接列表。 |
odps:CreateNetworkLink | 建立網路連接。 | |||
odps:GetNetworkLink | acs:odps:${region-id}:${resource-owner-id}:networkLinks/${networkLinks-name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/networklink_1(NetworkLink名稱) | 擷取單個網路連接資訊。 | |
odps:RemoveNetworkLink | 刪除網路連接。 | |||
租戶級使用者與角色管理 | odps:ListTenantUsers | acs:odps:${resource-owner-id}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantUsers/* | 查看租戶級使用者列表。 |
odps:AddTenantUsers | 添加租戶級使用者。 | |||
odps:RemoveTenantUsers | 刪除租戶級使用者。 | |||
odps:UpdateTenantRolesToUser | 修改單個使用者的租戶級角色。 | |||
odps:ListAllTenantRoles | acs:odps:${resource-owner-id}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/* | 查看租戶級角色列表。 | |
odps:CreateTenantRole | 建立租戶級角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:${resource-owner-id}:tenantRoles/${role-name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/tenantrole_1(租戶級角色名稱) | 更新租戶級角色Policy權限原則。 | |
odps:GetTenantRolePolicy | 擷取單個租戶級角色Policy權限原則。 | |||
odps:RemoveTenantRole | 刪除租戶級角色。 | |||
成本分析 | odps:SumBills | acs:odps:${region-id}:${resource-owner-id}:bills/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):bills/* | 查看費用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:${region-id}:${resource-owner-id}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):computeMetrics/* | 查看計算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:${region-id}:${resource-owner-id}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storageMetrics/* | 查看儲存用量分析 | |
odps:SumStorageMetricsByType | ||||
鏡像管理 | odps:GetImage | acs:odps:{#regionId}:{#accountId}:Image/{name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):Image/{name} | 查詢自訂鏡像資訊 |
odps:ListImage | acs:odps:{#regionId}:{#accountId}:Image/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):Image/* | 查詢自訂鏡像列表 | |
odps:RemoveImage | acs:odps:{#regionId}:{#accountId}:Image/{name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):Image/{name} | 刪除自訂鏡像 | |
odps:AddImage | acs:odps:{#regionId}:{#accountId}:Image/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):Image/* | 建立自訂鏡像 | |
外部網路設定 | odps:UpdateOutboundInternetAddress | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/{#projectName} | 更新外部網路設定 |
RAM帳號一旦被允許("Effect": "Allow")進行ListProjects、GetProject操作,則允許查看主帳號下指定Region的所有MaxCompute專案列表與資訊(包括未被加入的專案)。
RAM帳號被顯式拒絕("Effect": "Deny")進行ListProjects、GetProject操作,則無法查看主帳號下指定Region的任何MaxCompute專案資訊(包括已被加入的專案)。
RAM帳號未被定義是否允許進行ListProjects、GetProject操作(即沒有授予任何相關RAM權限原則),則將能夠擷取所屬主帳號指定Region下的已被加入的MaxCompute專案列表與資訊。
條件(Condition)說明
Condition用於指定授權生效的限制條件,由一個或多個條件子句構成。一個條件子句由條件操作類型、條件關鍵字和條件值組成。關於Condition的更多資訊請參見條件(Condition)。
MaxCompute Condition中的條件操作類型和條件關鍵字如下:
條件操作類型:
條件操作類型
支援類型
布爾類型(Boolean)
Bool
條件關鍵字:
Condition
說明
odps:Encryption
用於在建立MaxCompute專案時限制專案的加密情況。取值範圍如下:
true:需要加密。
false:不加密。
MaxCompute資料加密相關資訊請參見儲存加密。
權限原則
RAM支援兩種類型的權限原則:由阿里雲管理的系統策略和由客戶管理的自訂策略。
RAM系統策略。
MaxCompute在RAM上提供了兩種系統策略:
AliyunMaxComputeFullAccess:此策略許可權將包含上述MaxCompute接入RAM的所有許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。但可能會造成RAM使用者或RAM角色許可權過大的情況,請謹慎操作。AliyunMaxComputeReadOnlyAccess:此策略將包含上述MaxCompute接入RAM的所有列表操作(List)和讀操作(Get)許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。
RAM自訂策略。
您可以通過RAM控制台建立自訂權限原則以進行精細化的許可權管控,詳情請參見建立自訂權限原則。RAM策略包含版本號碼(Version)和授權語句(Statement),每條授權語句又包含授權效力(Effect)、操作(Action)、資源(Resource)以及可選的限制條件(Condition)。其中Action和Resource參數值取自許可權點列表中的Action和ARN(Aliyun Resource Name),詳情請參見許可權點列表;Condition參數值取自條件說明,詳情請參見條件(Condition)說明。更多權限原則的文法和結構內容請參見權限原則文法和結構。
自訂權限原則樣本如下。
支援MaxCompute Project對象系統管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota" ], "Resource": "*" } ] }支援MaxCompute Quota對象系統管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule" ], "Resource": "*" } ] }不允許建立非加密的MaxCompute專案權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }