MaxCompute部分資源管理類的操作只能通過管理主控台來完成,其中有些操作許可權通過RAM進行鑒權,本文為您介紹MaxCompute管理相關操作對接RAM的許可權點列表及權限原則。
許可權點列表
RAM帳號一旦被允許("Effect": "Allow")進行ListProjects、GetProject操作,則允許查看主帳號下指定Region的所有MaxCompute專案列表與資訊(包括未被加入的專案)。
RAM帳號被顯式拒絕("Effect": "Deny")進行ListProjects、GetProject操作,則無法查看主帳號下指定Region的任何MaxCompute專案資訊(包括已被加入的專案)。
RAM帳號未被定義是否允許進行ListProjects、GetProject操作(即沒有授予任何相關RAM權限原則),則將能夠擷取所屬主帳號指定Region下的已被加入的MaxCompute專案列表與資訊。
網路連接、租戶級使用者與角色管理相關許可權也支援通過MaxCompute租戶層級角色授權,若RAM權限原則配置的是通過(即策略中:
"Effect": "Allow"
),則鑒權通過;若RAM許可權未定義(即未定義相關RAM策略),則以租戶層級角色授權資訊為準;若RAM許可權配置的是拒絕(即策略中:"Effect": "Deny"
),則鑒權不通過。
專案管理
操作類別 | Action | ARN | ARN樣本 | 說明 |
專案管理 | odps:ListProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/* | 查看阿里雲帳號指定Region下的所有Project列表。 |
odps:CreateProject | 建立Project。 | |||
odps:GetProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 擷取單個Project資訊。 | |
odps:DeleteProject | 刪除Project。 | |||
odps:UpdateProjectStatus | 凍結或恢複Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的預設Quota。 | |||
odps:ListOutboundInternetAddress | 查看外部網路設定。 | |||
odps:UpdateOutboundInternetAddress | 更新外部網路設定。 | |||
odps:CreateRole | 建立專案層級角色。 | |||
odps:DeleteRole | 刪除專案層級角色。 | |||
odps:UpdateRole | 更新專案層級角色。 | |||
odps:UpdateUsersToAdmin | 設定專案系統管理員,即Admin角色。 | |||
odps:UpdateUsersToSuperAdmin | 設定專案超級管理員,即Super_Administrator角色。 | |||
odps:UpdateUsersToRole | 專案層級角色的成員管理。 | |||
odps:ListUsers | acs:odps:{#regionId}:{#accountID}:user/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):user/* | 擷取子使用者列表。 | |
odps:GetRoleAcl | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 擷取專案級角色ACL授權資訊。 | |
odps:GetRoleAclOnObject | 擷取角色對某對象的ACL授權。 | |||
odps:GetRolePolicy | 擷取角色Policy授權內容。 | |||
odps:ListResources | 擷取資源清單。 | |||
odps:ListRoles | 擷取專案級角色列表。 | |||
odps:CreatePackage | acs:odps:{#regionId}:{#accountId}:package/{#packageName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):package/pkg_1 | 建立Package。 | |
odps:DeletePackage | 刪除Package。 | |||
odps:GetPackage | 擷取某一個Package。 | |||
odps:ListPackages | 批量擷取Package。 | |||
odps:UpdatePackage | 更新Package。 | |||
odps:ListUserPermissionsAsStringByProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 列出使用者權限資訊,並以STRING格式顯示。 | |
odps:ListUserPermissionsByProject | 列出使用者權限資訊,並以JSON格式顯示。 | |||
odps:ListUsersInfoByProject | 列出專案內所有使用者包含角色安全資訊。 | |||
odps:ListProjectUsers | 列出專案內所有使用者。 | |||
odps:CreateSchema | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 建立Schema。 | |
odps:CheckRamRole | acs:odps:{#regionId}:{#accountId}:ramrole/{#roleName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):ramrole/AliyunMaxComputeEncryptionDefaultRole | 儲存加密功能中檢測SLR是否授權。 | |
odps:GetAsyncJobResult | acs:odps:{#regionId}:{#accountId}:asyncjob/* | acs:odps:cn-hangzhou:12345(阿里雲帳號):asyncjob/* | 擷取非同步介面調用返回結果。 說明 為解決API調用逾時問題,部分API、部分情境使用的是非同步請求方式,在發起調用之後,需要通過該介面非同步擷取結果,此時需要使用者額外擁有此許可權點。涉及到的情境有:根據專案級角色擷取使用者列表。 |
Quota管理
操作類別 | Action | ARN | ARN樣本 | 說明 |
Quota管理 | odps:UpdateQuota | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 修改一級或二級Quota。 |
odps:UpdateQuotaPlan | 修改Quota計劃。 | |||
odps:UpdateSubQuotas | 建立二級自訂Quota。 | |||
odps:UpdateQuotaSchedule | 修改時間計劃。 | |||
odps:CreateQuotaPlan | 建立Quota計劃。 | |||
odps:DeleteQuotaPlan | 刪除Quota計劃。 | |||
odps:CreateQuotaSchedule | 建立時間計劃。 | |||
odps:ListQuotaRoutingRules | acs:odps:{#regionId}:{#accountId}:quotas/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/* | 查看二級Quota規則列表。 | |
odps:CreateQuotaRoutingRule | 添加二級Quota規則。 | |||
odps:GetQuotaRoutingRule | acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1#quota_1_1(一級quota名稱#二級quota名稱。可以是nickname也可以是name。) | 查看二級Quota規則。 | |
odps:RemoveQuotaRoutingRule | 移除二級Quota規則。 | |||
odps:UpdateQuotaRoutingRule | 修改二級Quota規則。 | |||
odps:CreateQuota | acs:odps:{#regionId}:{#accountId}:quota/{#NickName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 建立Quota。 | |
odps:DeleteQuota | 刪除Quota。 | |||
odps:GetQuota | 擷取Quota。 | |||
odps:ListQuotas | 查詢Quota列表。 | |||
odps:ListQuotasPlans | 查詢Quota計劃列表。 | |||
odps:GetQuotaPlan | 擷取Quota計劃。 | |||
odps:GetQuotaSchedule | 擷取Quota分時計劃。 |
Notebook管理
操作類別 | Action | ARN | ARN樣本 | 說明 |
Notebook管理 | odps:CreateNotebookTemplate | acs:odps:{#regionId}:{#accountId}:notebooktemplate/{#notebookTemplatesId} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebooktemplate/notebookid | 建立Notebook執行個體模板。 |
odps:ListNotebookTemplates | 查看Notebook執行個體模板列表。 | |||
odps:GetNotebookTemplate | 查看Notebook執行個體模板詳情。 | |||
odps:UpdateNotebookTemplate | 更新Notebook執行個體模板。 | |||
odps:DeleteNotebookTemplate | 刪除Notebook執行個體模板。 | |||
odps:CreateNotebookStorage | acs:odps:{#regionId}:{#accountId}:notebookstorage/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookstorage/* | 建立Notebook執行個體掛載儲存。 | |
odps:ListNotebookStorage | 查看Notebook執行個體掛載儲存。 | |||
odps:CreateNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookinstance/* | 建立Notebook執行個體。 | |
odps:ListNotebookInstances | 查看Notebook執行個體列表。 | |||
odps:GetNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/{#notebookInstanceId} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookinstance/* | 查看Notebook執行個體詳情。 | |
odps:StartNotebookInstance | 啟動Notebook執行個體。 | |||
odps:StopNotebookInstance | 停止Notebook執行個體。 | |||
odps:UpdateNotebookInstance | 更新Notebook執行個體。 | |||
odps:DeleteNotebookInstance | 刪除Notebook執行個體。 |
資源觀測
操作類別 | Action | ARN | ARN樣本 | 說明 |
資源觀測 | odps:GetMetric | acs:odps:{#regionId}:{#accountId}:metric/{#category} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):metric/storage | 包括開放儲存、外表緩衝、作業觀測、儲存趨勢等監控曲線。 |
資源觀測(計算資源) | odps:GetQuotaUsage | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 查看計算資源或者資料轉送資源使用詳情。 |
資源觀測(儲存資源) | odps:GetStorageSizeSummary | acs:odps:{#regionId}:{#accountId}:storage/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/* | 擷取當日儲存用量摘要資料。 |
odps:GetStorageAmountSummary | 擷取當日儲存分布摘要資料。 | |||
odps:GetStorageSummaryCompared | 擷取儲存用量變化資料。 | |||
odps:ListStorageProjectsInfo | 擷取專案儲存明細。 | |||
odps:SumDailyBillsByItem | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):bills/* | 擷取儲存費用(目錄價)。 | |
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storageMetrics/* | 擷取每日儲存用量。 | |
odps:ListStorageTablesInfo | acs:odps:{#regionId}:{#accountId}:storage/{#projectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/prj_1 | 擷取表格儲存體明細。 | |
odps:ListStoragePartitionsInfo | 擷取分區儲存明細。 | |||
資源觀測(Data Transmission Service) | odps:GetTableAccessInfoTopK | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 查看資料轉送資源表訪問熱度TopK。 |
odps:GetTableIpAccessInfoTopK | 查看資料轉送資源訪問來源IP熱度TopK。 | |||
odps:GetTableAccessInfo | 查看資料轉送資源表訪問熱度資訊。 | |||
odps:ListTableSlotDetail | 查看資料轉送資源的資料轉送詳情資訊。 | |||
odps:GetTunnelThroughputSummary | 查看資料轉送資源的資料轉送資料量匯總。 | |||
資源觀測(作業效能) | odps:ListTopJobInfo | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/prj_1 | 擷取消耗資源、耗時Top作業。 |
作業營運
操作類別 | Action | ARN | ARN樣本 | 說明 |
作業營運 | odps:ListJobInfos | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/* | 查看作業資訊列表。 |
odps:ListJobSnapshotInfos | 查看作業快照列表。 | |||
odps:KillJobs | 終止作業。 | |||
odps:GetJobResourceUsage | 查看作業資源資訊匯總。 | |||
odps:GetRunningJobs | 查看正在啟動並執行作業列表。 | |||
odps:GetJobSummaryByPreCompute | 查看作業狀態匯總。 | |||
odps:GetJobLogView | acs:odps:{#regionId}:{#accountId}:job/{#instanceId} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/20240828****ju4h | 擷取作業的Logview。 | |
odps:GetJobAnalyzeQuotaUsage | 查看作業的計算資源使用方式。 | |||
odps:GetJobAnalyzeQuotaDistribution | acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/quota_1 | 查看作業的計算資源使用分布情況。 |
物化視圖
操作類別 | Action | ARN | ARN樣本 | 說明 |
物化視圖 | odps:ListGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):globalconfig/* | 查看全域配置開關(目前僅支援物化視圖)。 |
odps:GetGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):globalconfig/mvrecommendation | 擷取單個全域配置開關(目前僅支援物化視圖)。 | |
odps:CloseGlobalConfig | 關閉單個全域配置開關(目前僅支援物化視圖)。 | |||
odps:UpdateGlobalConfig | 修改單個全域配置開關(目前僅支援物化視圖)。 | |||
odps:ListMvRecommendationSupportProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/* | 查看開啟物化視圖推薦項目列表。 | |
odps:CheckMvRecommendationSupportProjects | 檢查開啟物化視圖推薦項目列表。 | |||
odps:ListMvRecommendations | 查看推薦物化視圖列表。 | |||
odps:GetMvRecommendation | 查看推薦物化視圖資訊。 | |||
odps:AddMvRecommendationSupportProject | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1 | 添加開啟物化視圖推薦項目。 | |
odps:RemoveMvRecommendationSupportProject | 移除開啟物化視圖推薦項目。 | |||
odps:CreateMaterializedView | 建立物化視圖。 | |||
odps:GetMaterializedViewStatus | 查看物化視圖的建立狀態。 | |||
odps:ListMaterializedViews | 查看所有建立的物化視圖。 | |||
odps:GetMaterializedView | 查看物化視圖的資訊。 | |||
odps:UpdateMaterializedView | 更新物化視圖的資訊。 | |||
odps:DeleteMaterializedView | 刪除物化視圖。 | |||
odps:ListProjectMvRecommendations | 查看專案的推薦物化視圖列表。 | |||
odps:GetProjectMvRecommendation | 查看專案的推薦物化視圖資訊。 | |||
odps:ListMvRecommendationsByProject | 查看專案的推薦物化視圖列表。 | |||
odps:GetMvRecommendationByProject | 查看專案的推薦物化視圖資訊。 | |||
odps:ListMvRecommendationJobInfo | 查看推薦物化視圖涉及的作業資訊。 | |||
odps:ListMaterializedViewJobInfo | 查看物化視圖涉及的作業資訊。 |
遷移服務(MMA)
操作類別 | Action | ARN | ARN樣本 | 說明 |
遷移服務 | odps:ListMmsDataSources | acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#datasourceId} | acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsdatasource/2000029 | 查看資料來源列表。 |
odps:GetMmsDataSource | 擷取某個資料來源詳情。 | |||
odps:CreateMmsDataSource | 建立資料來源。 | |||
odps:UpdateMmsDataSource | 更新資料來源。 | |||
odps:DeleteMmsDataSource | 刪除資料來源。 | |||
odps:CreateMmsFetchMetadataJob | 建立中繼資料更新任務。 | |||
odps:ListMmsJobs | 擷取遷移計劃列表。 | |||
odps:GetMmsJob | 擷取某個遷移計劃。 | |||
odps:CreateMmsJob | 建立遷移計劃。 | |||
odps:DeleteMmsJob | 刪除遷移計劃。 | |||
odps:StartMmsJob | 開始運行遷移計劃。 | |||
odps:StopMmsJob | 停止運行遷移計劃。 | |||
odps:RetryMmsJob | 重試遷移計劃。 | |||
odps:ListMmsTasks | 擷取遷移工作清單。 | |||
odps:GetMmsTask | 擷取某個遷移任務。 | |||
odps:ListMmsTaskLogs | 擷取遷移任務日誌列表。 | |||
odps:GetMmsAsyncTask | 擷取某個非同步任務。 | |||
odps:UpdateMmsAsyncTask | 更新非同步任務狀態。 | |||
odps:DeleteMmsAsyncTask | 刪除非同步任務。 | |||
odps:ListMmsDbs | 擷取資料來源中的Database列表。 | |||
odps:GetMmsDb | 擷取資料來源中某個Database。 | |||
odps:ListMmsTables | 擷取資料來源中的Table列表。 | |||
odps:GetMmsTable | 擷取資料來源中某個Table。 | |||
odps:ListMmsPartitions | 擷取資料來源中的partition列表。 | |||
odps:GetMmsPartition | 擷取資料來源中某個partition。 | |||
odps:ListMmsAgents | acs:odps:{#regionId}:{#accountId}:mmsagent | acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsagent | 擷取主帳號下已經啟動並執行Agent列表。 | |
odps:CreateMmsAuthFile | acs:odps:{#regionId}:{#accountId}:mmsauthfile | acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsauthfile | 建立認證檔案。 |
成本管理
操作類別 | Action | ARN | ARN樣本 | 說明 |
成本分析 | odps:SumBills | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):bills/* | 查看費用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:{#regionId}:{#accountId}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):computeMetrics/* | 查看計算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storageMetrics/* | 查看儲存用量分析。 | |
odps:SumStorageMetricsByType | ||||
odps:ListInstances | acs:odps:*:{#accountId}:instance/* | acs:odps:*:12345(阿里雲帳號):instance/* | 列舉執行個體。 | |
成本最佳化-訂用帳戶計算資源變更配置推薦 | odps:CreateQuotaHistoryRequestAnalysis | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 發起成本最佳化(訂用帳戶)配額組使用情況分析請求。 |
odps:GetQuotaHistoryRequestAnalysis | 擷取成本最佳化(訂用帳戶)配額組使用情況分析結果。 | |||
odps:CreateQuotaScheduleEffectAnalysis | 發起成本最佳化(訂用帳戶)現狀評估請求。 | |||
odps:GetQuotaScheduleEffectAnalysis | 擷取成本最佳化(訂用帳戶)現狀評估結果。 | |||
odps:CreateQuotaScheduleSuggestion | 發起成本最佳化(訂用帳戶)推薦配置請求。 | |||
odps:GetQuotaScheduleSuggestion | 擷取成本最佳化(訂用帳戶)推薦配置結果。 | |||
成本最佳化- 隨用隨付專案變更配置至訂用帳戶Quota | odps:ListQuotaRecentlyActiveProjects | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱) | 擷取成本最佳化(隨用隨付)專案列表。 |
odps:CreateQuotaHistoryRequestAnalysisWithProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prjname | 發起成本最佳化(隨用隨付)專案及配額組使用情況分析請求。 | |
odps:GetQuotaHistoryRequestAnalysisWithProjects | 擷取成本最佳化(隨用隨付)專案及配額組使用情況分析結果。 | |||
odps:CreateQuotaScheduleEffectAnalysisWithProjects | 發起成本最佳化(隨用隨付)現狀評估請求。 | |||
odps:GetQuotaScheduleEffectAnalysisWithProjects | 擷取成本最佳化(隨用隨付)現狀評估結果。 | |||
odps:CreateQuotaScheduleSuggestionWithProjects | 發起成本最佳化(隨用隨付)推薦配置請求。 | |||
odps:GetQuotaScheduleSuggestionWithProjects | 擷取成本最佳化(隨用隨付)推薦配置結果。 |
租戶管理
操作類別 | Action | ARN | ARN樣本 | 說明 |
租戶管理-租戶屬性 | odps:GetTenantSetting | acs:odps:{#accountId}:tenant/settings/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/settings/* | 查看租戶配置。 |
odps:UpdateTenantSetting | acs:odps:{#accountId}:tenant/settings/{#key} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/settings/namespaceSchema | 修改租戶配置。 | |
租戶管理-網路連接(NetworkLink) | odps:ListNetworkLinks | acs:odps:{#regionId}:{#accountId}:networklink/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/* | 查看租戶下所有網路連接列表。 |
odps:CreateNetworkLink | 建立網路連接。 | |||
odps:GetNetworkLink | acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/networklink_1(NetworkLink名稱) | 擷取單個網路連接資訊。 | |
odps:RemoveNetworkLink | 刪除網路連接。 | |||
租戶管理-鏡像管理 | odps:ListImage | acs:odps:{#regionId}:{#accountId}:image/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/* | 查詢自訂鏡像列表。 |
odps:AddImage | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/* | 建立自訂鏡像。 | ||
odps:GetImage | acs:odps:{#regionId}:{#accountId}:image/{#name} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/image1 | 查詢自訂鏡像資訊。 | |
odps:RemoveImage | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/{name} | 刪除自訂鏡像。 | ||
租戶管理-外部資料源 | odps:ListTenantObjectBindings | acs:odps:{#regionId}:{#accountId}:tenant/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/* | 列出關於租戶側資源綁定的Project。 |
odps:UpdateTenantObjectBindings | 更新關於租戶側某一個資源綁定的Project。 | |||
odps:UpdateForeignServer | acs:odps:{#regionId}:{#accountId}:foreignservers/{#foreignServerName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):foreignservers/foreign_1 | 更新外部資料源。 | |
odps:DeleteForeignServer | 刪除外部資料源 | |||
odps:GetForeignServer | 擷取外部資料源 | |||
odps:ListForeignServers | acs:odps:{#regionId}:{#accountId}:foreignservers/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):foreignservers/* | 查看外部資料源列表 | |
odps:CreateForeignServer | 建立外部資料源。 | |||
租戶級使用者與角色管理 | odps:ListTenantUsers | acs:odps:{#accountId}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantUsers/* | 查看租戶級使用者列表。 |
odps:AddTenantUsers | 添加租戶級使用者。 | |||
odps:RemoveTenantUsers | 刪除租戶級使用者。 | |||
odps:UpdateTenantRolesToUser | 修改單個使用者的租戶級角色。 | |||
odps:ListAllTenantRoles | acs:odps{#accountId}}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/* | 查看租戶級角色列表。 | |
odps:CreateTenantRole | 建立租戶級角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:{#accountId}:tenantRoles/{#roleName} | acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/tenantrole_1(租戶級角色名稱) | 更新租戶級角色Policy權限原則。 | |
odps:GetTenantRolePolicy | 擷取單個租戶級角色Policy權限原則。 | |||
odps:RemoveTenantRole | 刪除租戶級角色。 |
條件(Condition)說明
Condition用於指定授權生效的限制條件,由一個或多個條件子句構成。一個條件子句由條件操作類型、條件關鍵字和條件值組成。關於Condition的更多資訊請參見條件(Condition)。
MaxCompute Condition中的條件操作類型和條件關鍵字如下:
條件操作類型:
條件操作類型
支援類型
布爾類型(Boolean)
Bool
條件關鍵字:
Condition
說明
odps:Encryption
用於在建立MaxCompute專案時限制專案的加密情況。取值範圍如下:
true:需要加密。
false:不加密。
MaxCompute資料加密相關資訊請參見儲存加密。
權限原則
RAM支援兩種類型的權限原則:由阿里雲管理的系統策略和由客戶管理的自訂策略。
RAM系統策略。
MaxCompute在RAM上提供了兩種系統策略:
AliyunMaxComputeFullAccess
:此策略許可權將包含上述MaxCompute接入RAM的所有許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。但可能會造成RAM使用者或RAM角色許可權過大的情況,請謹慎操作。AliyunMaxComputeReadOnlyAccess
:此策略將包含上述MaxCompute接入RAM的所有列表操作(List)和讀操作(Get)許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。
RAM自訂策略。
您可以通過RAM控制台建立自訂權限原則以進行精細化的許可權管控,詳情請參見建立自訂權限原則。RAM策略包含版本號碼(Version)和授權語句(Statement),每條授權語句又包含授權效力(Effect)、操作(Action)、資源(Resource)以及可選的限制條件(Condition)。其中Action和Resource參數值取自許可權點列表中的Action和ARN(Aliyun Resource Name),詳情請參見許可權點列表;Condition參數值取自條件說明,詳情請參見條件(Condition)說明。更多權限原則的文法和結構內容請參見權限原則文法和結構。
自訂權限原則樣本如下。
支援MaxCompute Project對象系統管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota", "odps:UpdateProjectStatus", "odps:UpdateUsersToSuperAdmin", "odps:ListOutboundInternetAddress", "odps:UpdateOutboundInternetAddress" ], "Resource": "*" } ] }
支援MaxCompute Quota對象系統管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule", "odps:ListQuotaRoutingRules", "odps:CreateQuotaRoutingRule", "odps:GetQuotaRoutingRule", "odps:RemoveQuotaRoutingRule", "odps:UpdateQuotaRoutingRule" ], "Resource": "*" } ] }
不允許建立非加密的MaxCompute專案權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }
允許查看MaxCompute資源觀測資料的權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:GetMetric", "odps:GetQuotaUsage", "odps:GetStorageSummaryCompared", "odps:GetStorageSizeSummary", "odps:SumDailyBillsByItem", "odps:SumStorageMetricsByDate", "odps:GetStorageAmountSummary", "odps:ListStorageProjectsInfo", "odps:ListTopJobInfo", "odps:ListStorageTablesInfo", "odps:ListStoragePartitionsInfo", "odps:GetTableAccessInfoTopK", "odps:GetTableIpAccessInfoTopK", "odps:GetTableAccessInfo", "odps:ListTableSlotDetail", "odps:GetTunnelThroughputSummary" ], "Resource": "*" } ] }