全部產品
Search
文件中心

:RAM許可權

更新時間:Dec 14, 2024

MaxCompute部分資源管理類的操作只能通過管理主控台來完成,其中有些操作許可權通過RAM進行鑒權,本文為您介紹MaxCompute管理相關操作對接RAM的許可權點列表及權限原則。

許可權點列表

重要
  • RAM帳號一旦被允許("Effect": "Allow")進行ListProjects、GetProject操作,則允許查看主帳號下指定Region的所有MaxCompute專案列表與資訊(包括未被加入的專案)。

  • RAM帳號被顯式拒絕("Effect": "Deny")進行ListProjects、GetProject操作,則無法查看主帳號下指定Region的任何MaxCompute專案資訊(包括已被加入的專案)。

  • RAM帳號未被定義是否允許進行ListProjects、GetProject操作(即沒有授予任何相關RAM權限原則),則將能夠擷取所屬主帳號指定Region下的已被加入的MaxCompute專案列表與資訊。

  • 網路連接、租戶級使用者與角色管理相關許可權也支援通過MaxCompute租戶層級角色授權,若RAM權限原則配置的是通過(即策略中: "Effect": "Allow"),則鑒權通過;若RAM許可權未定義(即未定義相關RAM策略),則以租戶層級角色授權資訊為準;若RAM許可權配置的是拒絕(即策略中: "Effect": "Deny"),則鑒權不通過。

專案管理

操作類別

Action

ARN

ARN樣本

說明

專案管理

odps:ListProjects

acs:odps:{#regionId}:{#accountId}:projects/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/*

查看阿里雲帳號指定Region下的所有Project列表。

odps:CreateProject

建立Project。

odps:GetProject

acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1

擷取單個Project資訊。

odps:DeleteProject

刪除Project。

odps:UpdateProjectStatus

凍結或恢複Project。

odps:UpdateProjectDefaultQuota

修改Project的預設Quota。

odps:ListOutboundInternetAddress

查看外部網路設定。

odps:UpdateOutboundInternetAddress

更新外部網路設定。

odps:CreateRole

建立專案層級角色。

odps:DeleteRole

刪除專案層級角色。

odps:UpdateRole

更新專案層級角色。

odps:UpdateUsersToAdmin

設定專案系統管理員,即Admin角色。

odps:UpdateUsersToSuperAdmin

設定專案超級管理員,即Super_Administrator角色。

odps:UpdateUsersToRole

專案層級角色的成員管理。

odps:ListUsers

acs:odps:{#regionId}:{#accountID}:user/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):user/*

擷取子使用者列表。

odps:GetRoleAcl

acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1

擷取專案級角色ACL授權資訊。

odps:GetRoleAclOnObject

擷取角色對某對象的ACL授權。

odps:GetRolePolicy

擷取角色Policy授權內容。

odps:ListResources

擷取資源清單。

odps:ListRoles

擷取專案級角色列表。

odps:CreatePackage

acs:odps:{#regionId}:{#accountId}:package/{#packageName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):package/pkg_1

建立Package。

odps:DeletePackage

刪除Package。

odps:GetPackage

擷取某一個Package。

odps:ListPackages

批量擷取Package。

odps:UpdatePackage

更新Package。

odps:ListUserPermissionsAsStringByProject

acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1

列出使用者權限資訊,並以STRING格式顯示。

odps:ListUserPermissionsByProject

列出使用者權限資訊,並以JSON格式顯示。

odps:ListUsersInfoByProject

列出專案內所有使用者包含角色安全資訊。

odps:ListProjectUsers

列出專案內所有使用者。

odps:CreateSchema

acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1

建立Schema。

odps:CheckRamRole

acs:odps:{#regionId}:{#accountId}:ramrole/{#roleName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):ramrole/AliyunMaxComputeEncryptionDefaultRole

儲存加密功能中檢測SLR是否授權。

odps:GetAsyncJobResult

acs:odps:{#regionId}:{#accountId}:asyncjob/*

acs:odps:cn-hangzhou:12345(阿里雲帳號):asyncjob/*

擷取非同步介面調用返回結果。

說明

為解決API調用逾時問題,部分API、部分情境使用的是非同步請求方式,在發起調用之後,需要通過該介面非同步擷取結果,此時需要使用者額外擁有此許可權點。涉及到的情境有:根據專案級角色擷取使用者列表。

Quota管理

操作類別

Action

ARN

ARN樣本

說明

Quota管理

odps:UpdateQuota

acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} 

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

修改一級或二級Quota。

odps:UpdateQuotaPlan

修改Quota計劃。

odps:UpdateSubQuotas

建立二級自訂Quota。

odps:UpdateQuotaSchedule

修改時間計劃。

odps:CreateQuotaPlan

建立Quota計劃。

odps:DeleteQuotaPlan

刪除Quota計劃。

odps:CreateQuotaSchedule

建立時間計劃。

odps:ListQuotaRoutingRules

acs:odps:{#regionId}:{#accountId}:quotas/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/*

查看二級Quota規則列表。

odps:CreateQuotaRoutingRule

添加二級Quota規則。

odps:GetQuotaRoutingRule

acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1#quota_1_1(一級quota名稱#二級quota名稱。可以是nickname也可以是name。)

查看二級Quota規則。

odps:RemoveQuotaRoutingRule

移除二級Quota規則。

odps:UpdateQuotaRoutingRule

修改二級Quota規則。

odps:CreateQuota

acs:odps:{#regionId}:{#accountId}:quota/{#NickName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

建立Quota。

odps:DeleteQuota

刪除Quota。

odps:GetQuota

擷取Quota。

odps:ListQuotas

查詢Quota列表。

odps:ListQuotasPlans

查詢Quota計劃列表。

odps:GetQuotaPlan

擷取Quota計劃。

odps:GetQuotaSchedule

擷取Quota分時計劃。

Notebook管理

操作類別

Action

ARN

ARN樣本

說明

Notebook管理

odps:CreateNotebookTemplate

acs:odps:{#regionId}:{#accountId}:notebooktemplate/{#notebookTemplatesId}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebooktemplate/notebookid

建立Notebook執行個體模板。

odps:ListNotebookTemplates

查看Notebook執行個體模板列表。

odps:GetNotebookTemplate

查看Notebook執行個體模板詳情。

odps:UpdateNotebookTemplate

更新Notebook執行個體模板。

odps:DeleteNotebookTemplate

刪除Notebook執行個體模板。

odps:CreateNotebookStorage

acs:odps:{#regionId}:{#accountId}:notebookstorage/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookstorage/*

建立Notebook執行個體掛載儲存。

odps:ListNotebookStorage

查看Notebook執行個體掛載儲存。

odps:CreateNotebookInstance

acs:odps:{#regionId}:{#accountId}:notebookinstance/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookinstance/*

建立Notebook執行個體。

odps:ListNotebookInstances

查看Notebook執行個體列表。

odps:GetNotebookInstance

acs:odps:{#regionId}:{#accountId}:notebookinstance/{#notebookInstanceId}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):notebookinstance/*

查看Notebook執行個體詳情。

odps:StartNotebookInstance

啟動Notebook執行個體。

odps:StopNotebookInstance

停止Notebook執行個體。

odps:UpdateNotebookInstance

更新Notebook執行個體。

odps:DeleteNotebookInstance

刪除Notebook執行個體。

資源觀測

操作類別

Action

ARN

ARN樣本

說明

資源觀測

odps:GetMetric

acs:odps:{#regionId}:{#accountId}:metric/{#category}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):metric/storage

包括開放儲存、外表緩衝、作業觀測、儲存趨勢等監控曲線。

資源觀測(計算資源)

odps:GetQuotaUsage

acs:odps:{#regionId}:{#accountId}:quotas/{#nickname}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

查看計算資源或者資料轉送資源使用詳情。

資源觀測(儲存資源)

odps:GetStorageSizeSummary

acs:odps:{#regionId}:{#accountId}:storage/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/*

擷取當日儲存用量摘要資料。

odps:GetStorageAmountSummary

擷取當日儲存分布摘要資料。

odps:GetStorageSummaryCompared

擷取儲存用量變化資料。

odps:ListStorageProjectsInfo

擷取專案儲存明細。

odps:SumDailyBillsByItem

acs:odps:{#regionId}:{#accountId}:bills/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):bills/*

擷取儲存費用(目錄價)。

odps:SumStorageMetricsByDate

acs:odps:{#regionId}:{#accountId}:storageMetrics/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storageMetrics/*

擷取每日儲存用量。

odps:ListStorageTablesInfo

acs:odps:{#regionId}:{#accountId}:storage/{#projectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/prj_1

擷取表格儲存體明細。

odps:ListStoragePartitionsInfo

擷取分區儲存明細。

資源觀測(Data Transmission Service)

odps:GetTableAccessInfoTopK

acs:odps:{#regionId}:{#accountId}:quotas/{#nickname}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

查看資料轉送資源表訪問熱度TopK。

odps:GetTableIpAccessInfoTopK

查看資料轉送資源訪問來源IP熱度TopK。

odps:GetTableAccessInfo

查看資料轉送資源表訪問熱度資訊。

odps:ListTableSlotDetail

查看資料轉送資源的資料轉送詳情資訊。

odps:GetTunnelThroughputSummary

查看資料轉送資源的資料轉送資料量匯總。

資源觀測(作業效能)

odps:ListTopJobInfo

acs:odps:{#regionId}:{#accountId}:job/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storage/prj_1

擷取消耗資源、耗時Top作業。

作業營運

操作類別

Action

ARN

ARN樣本

說明

作業營運

odps:ListJobInfos

acs:odps:{#regionId}:{#accountId}:job/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/*

查看作業資訊列表。

odps:ListJobSnapshotInfos

查看作業快照列表。

odps:KillJobs

終止作業。

odps:GetJobResourceUsage

查看作業資源資訊匯總。

odps:GetRunningJobs

查看正在啟動並執行作業列表。

odps:GetJobSummaryByPreCompute

查看作業狀態匯總。

odps:GetJobLogView

acs:odps:{#regionId}:{#accountId}:job/{#instanceId}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/20240828****ju4h

擷取作業的Logview。

odps:GetJobAnalyzeQuotaUsage

查看作業的計算資源使用方式。

odps:GetJobAnalyzeQuotaDistribution

acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):job/quota_1

查看作業的計算資源使用分布情況。

物化視圖

操作類別

Action

ARN

ARN樣本

說明

物化視圖

odps:ListGlobalConfig

acs:odps:{#regionId}:{#accountId}:globalconfig/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):globalconfig/*

查看全域配置開關(目前僅支援物化視圖)。

odps:GetGlobalConfig

acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):globalconfig/mvrecommendation

擷取單個全域配置開關(目前僅支援物化視圖)。

odps:CloseGlobalConfig

關閉單個全域配置開關(目前僅支援物化視圖)。

odps:UpdateGlobalConfig

修改單個全域配置開關(目前僅支援物化視圖)。

odps:ListMvRecommendationSupportProjects

acs:odps:{#regionId}:{#accountId}:projects/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/*

查看開啟物化視圖推薦項目列表。

odps:CheckMvRecommendationSupportProjects

檢查開啟物化視圖推薦項目列表。

odps:ListMvRecommendations

查看推薦物化視圖列表。

odps:GetMvRecommendation

查看推薦物化視圖資訊。

odps:AddMvRecommendationSupportProject

acs:odps:{#regionId}:{#accountId}:projects/{#projectName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prj_1

添加開啟物化視圖推薦項目。

odps:RemoveMvRecommendationSupportProject

移除開啟物化視圖推薦項目。

odps:CreateMaterializedView

建立物化視圖。

odps:GetMaterializedViewStatus

查看物化視圖的建立狀態。

odps:ListMaterializedViews

查看所有建立的物化視圖。

odps:GetMaterializedView

查看物化視圖的資訊。

odps:UpdateMaterializedView

更新物化視圖的資訊。

odps:DeleteMaterializedView

刪除物化視圖。

odps:ListProjectMvRecommendations

查看專案的推薦物化視圖列表。

odps:GetProjectMvRecommendation

查看專案的推薦物化視圖資訊。

odps:ListMvRecommendationsByProject

查看專案的推薦物化視圖列表。

odps:GetMvRecommendationByProject

查看專案的推薦物化視圖資訊。

odps:ListMvRecommendationJobInfo

查看推薦物化視圖涉及的作業資訊。

odps:ListMaterializedViewJobInfo

查看物化視圖涉及的作業資訊。

遷移服務(MMA)

操作類別

Action

ARN

ARN樣本

說明

遷移服務

odps:ListMmsDataSources

acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#datasourceId}

acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsdatasource/2000029

查看資料來源列表。

odps:GetMmsDataSource

擷取某個資料來源詳情。

odps:CreateMmsDataSource

建立資料來源。

odps:UpdateMmsDataSource

更新資料來源。

odps:DeleteMmsDataSource

刪除資料來源。

odps:CreateMmsFetchMetadataJob

建立中繼資料更新任務。

odps:ListMmsJobs

擷取遷移計劃列表。

odps:GetMmsJob

擷取某個遷移計劃。

odps:CreateMmsJob

建立遷移計劃。

odps:DeleteMmsJob

刪除遷移計劃。

odps:StartMmsJob

開始運行遷移計劃。

odps:StopMmsJob

停止運行遷移計劃。

odps:RetryMmsJob

重試遷移計劃。

odps:ListMmsTasks

擷取遷移工作清單。

odps:GetMmsTask

擷取某個遷移任務。

odps:ListMmsTaskLogs

擷取遷移任務日誌列表。

odps:GetMmsAsyncTask

擷取某個非同步任務。

odps:UpdateMmsAsyncTask

更新非同步任務狀態。

odps:DeleteMmsAsyncTask

刪除非同步任務。

odps:ListMmsDbs

擷取資料來源中的Database列表。

odps:GetMmsDb

擷取資料來源中某個Database。

odps:ListMmsTables

擷取資料來源中的Table列表。

odps:GetMmsTable

擷取資料來源中某個Table。

odps:ListMmsPartitions

擷取資料來源中的partition列表。

odps:GetMmsPartition

擷取資料來源中某個partition。

odps:ListMmsAgents

acs:odps:{#regionId}:{#accountId}:mmsagent

acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsagent

擷取主帳號下已經啟動並執行Agent列表。

odps:CreateMmsAuthFile

acs:odps:{#regionId}:{#accountId}:mmsauthfile

acs:odps:cn-shanghai:12345(阿里雲帳號uid):mmsauthfile

建立認證檔案。

成本管理

操作類別

Action

ARN

ARN樣本

說明

成本分析

odps:SumBills

acs:odps:{#regionId}:{#accountId}:bills/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):bills/*

查看費用分析。

odps:SumBillsByDate

odps:SumDailyBillsByItem

odps:SumComputeMetricsByRecord

acs:odps:{#regionId}:{#accountId}:computeMetrics/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):computeMetrics/*

查看計算用量分析。

odps:SumComputeMetricsByUsage

odps:ListComputeMetricsByInstance

odps:ListComputeMetricsBySignature

odps:SumStorageMetricsByDate

acs:odps:{#regionId}:{#accountId}:storageMetrics/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):storageMetrics/*

查看儲存用量分析。

odps:SumStorageMetricsByType

odps:ListInstances

acs:odps:*:{#accountId}:instance/*

acs:odps:*:12345(阿里雲帳號):instance/*

列舉執行個體。

成本最佳化-訂用帳戶計算資源變更配置推薦

odps:CreateQuotaHistoryRequestAnalysis

acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

發起成本最佳化(訂用帳戶)配額組使用情況分析請求。

odps:GetQuotaHistoryRequestAnalysis

擷取成本最佳化(訂用帳戶)配額組使用情況分析結果。

odps:CreateQuotaScheduleEffectAnalysis

發起成本最佳化(訂用帳戶)現狀評估請求。

odps:GetQuotaScheduleEffectAnalysis

擷取成本最佳化(訂用帳戶)現狀評估結果。

odps:CreateQuotaScheduleSuggestion

發起成本最佳化(訂用帳戶)推薦配置請求。

odps:GetQuotaScheduleSuggestion

擷取成本最佳化(訂用帳戶)推薦配置結果。

成本最佳化-

隨用隨付專案變更配置至訂用帳戶Quota

odps:ListQuotaRecentlyActiveProjects

acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):quotas/quota_1(一級qutoa名稱)

擷取成本最佳化(隨用隨付)專案列表。

odps:CreateQuotaHistoryRequestAnalysisWithProjects

acs:odps:{#regionId}:{#accountId}:projects/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):projects/prjname

發起成本最佳化(隨用隨付)專案及配額組使用情況分析請求。

odps:GetQuotaHistoryRequestAnalysisWithProjects

擷取成本最佳化(隨用隨付)專案及配額組使用情況分析結果。

odps:CreateQuotaScheduleEffectAnalysisWithProjects

發起成本最佳化(隨用隨付)現狀評估請求。

odps:GetQuotaScheduleEffectAnalysisWithProjects

擷取成本最佳化(隨用隨付)現狀評估結果。

odps:CreateQuotaScheduleSuggestionWithProjects

發起成本最佳化(隨用隨付)推薦配置請求。

odps:GetQuotaScheduleSuggestionWithProjects

擷取成本最佳化(隨用隨付)推薦配置結果。

租戶管理

操作類別

Action

ARN

ARN樣本

說明

租戶管理-租戶屬性

odps:GetTenantSetting

acs:odps:{#accountId}:tenant/settings/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/settings/*

查看租戶配置。

odps:UpdateTenantSetting

acs:odps:{#accountId}:tenant/settings/{#key}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/settings/namespaceSchema

修改租戶配置。

租戶管理-網路連接(NetworkLink)

odps:ListNetworkLinks

acs:odps:{#regionId}:{#accountId}:networklink/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/*

查看租戶下所有網路連接列表。

odps:CreateNetworkLink

建立網路連接。

odps:GetNetworkLink

acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):networkLinks/networklink_1(NetworkLink名稱)

擷取單個網路連接資訊。

odps:RemoveNetworkLink

刪除網路連接。

租戶管理-鏡像管理

odps:ListImage

acs:odps:{#regionId}:{#accountId}:image/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/*

查詢自訂鏡像列表。

odps:AddImage

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/*

建立自訂鏡像。

odps:GetImage

acs:odps:{#regionId}:{#accountId}:image/{#name}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/image1

查詢自訂鏡像資訊。

odps:RemoveImage

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):image/{name}

刪除自訂鏡像。

租戶管理-外部資料源

odps:ListTenantObjectBindings

acs:odps:{#regionId}:{#accountId}:tenant/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenant/*

列出關於租戶側資源綁定的Project。

odps:UpdateTenantObjectBindings

更新關於租戶側某一個資源綁定的Project。

odps:UpdateForeignServer

acs:odps:{#regionId}:{#accountId}:foreignservers/{#foreignServerName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):foreignservers/foreign_1

更新外部資料源。

odps:DeleteForeignServer

刪除外部資料源

odps:GetForeignServer

擷取外部資料源

odps:ListForeignServers

acs:odps:{#regionId}:{#accountId}:foreignservers/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):foreignservers/*

查看外部資料源列表

odps:CreateForeignServer

建立外部資料源。

租戶級使用者與角色管理

odps:ListTenantUsers

acs:odps:{#accountId}:tenantUsers/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantUsers/*

查看租戶級使用者列表。

odps:AddTenantUsers

添加租戶級使用者。

odps:RemoveTenantUsers

刪除租戶級使用者。

odps:UpdateTenantRolesToUser

修改單個使用者的租戶級角色。

odps:ListAllTenantRoles

acs:odps{#accountId}}:tenantRoles/*

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/*

查看租戶級角色列表。

odps:CreateTenantRole

建立租戶級角色。

odps:UpdateTenantRolePolicy

acs:odps:{#accountId}:tenantRoles/{#roleName}

acs:odps:cn-hangzhou:12345(阿里雲帳號uid):tenantRoles/tenantrole_1(租戶級角色名稱)

更新租戶級角色Policy權限原則。

odps:GetTenantRolePolicy

擷取單個租戶級角色Policy權限原則。

odps:RemoveTenantRole

刪除租戶級角色。

條件(Condition)說明

Condition用於指定授權生效的限制條件,由一個或多個條件子句構成。一個條件子句由條件操作類型、條件關鍵字和條件值組成。關於Condition的更多資訊請參見條件(Condition)

MaxCompute Condition中的條件操作類型和條件關鍵字如下:

  • 條件操作類型:

    條件操作類型

    支援類型

    布爾類型(Boolean)

    Bool

  • 條件關鍵字:

    Condition

    說明

    odps:Encryption

    用於在建立MaxCompute專案時限制專案的加密情況。取值範圍如下:

    • true:需要加密。

    • false:不加密。

    MaxCompute資料加密相關資訊請參見儲存加密

權限原則

RAM支援兩種類型的權限原則:由阿里雲管理的系統策略和由客戶管理的自訂策略。

  • RAM系統策略。

    MaxCompute在RAM上提供了兩種系統策略:

    • AliyunMaxComputeFullAccess:此策略許可權將包含上述MaxCompute接入RAM的所有許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。但可能會造成RAM使用者或RAM角色許可權過大的情況,請謹慎操作。

    • AliyunMaxComputeReadOnlyAccess:此策略將包含上述MaxCompute接入RAM的所有列表操作(List)和讀操作(Get)許可權點,您可以直接給RAM使用者或RAM角色授權此權限原則。

  • RAM自訂策略。

    您可以通過RAM控制台建立自訂權限原則以進行精細化的許可權管控,詳情請參見建立自訂權限原則。RAM策略包含版本號碼(Version)和授權語句(Statement),每條授權語句又包含授權效力(Effect)、操作(Action)、資源(Resource)以及可選的限制條件(Condition)。其中ActionResource參數值取自許可權點列表中的Action和ARN(Aliyun Resource Name),詳情請參見許可權點列表Condition參數值取自條件說明,詳情請參見條件(Condition)說明。更多權限原則的文法和結構內容請參見權限原則文法和結構

    自訂權限原則樣本如下。

    • 支援MaxCompute Project對象系統管理權限策略。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "odps:ListProjects",
                      "odps:GetProject",
                      "odps:CreateProject",
                      "odps:DeleteProject",
                      "odps:UpdateProjectDefaultQuota",
                      "odps:UpdateProjectStatus",
                      "odps:UpdateUsersToSuperAdmin",
                      "odps:ListOutboundInternetAddress",
                      "odps:UpdateOutboundInternetAddress"
                
                  ],
                  "Resource": "*"
              }
          ]
      }
    • 支援MaxCompute Quota對象系統管理權限策略。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "odps:UpdateQuota",
                      "odps:UpdateQuotaPlan",
                      "odps:UpdateSubQuotas",
                      "odps:UpdateQuotaSchedule",
                      "odps:CreateQuotaPlan",
                      "odps:DeleteQuotaPlan",
                      "odps:CreateQuotaSchedule",
                      "odps:ListQuotaRoutingRules",
                      "odps:CreateQuotaRoutingRule",
                      "odps:GetQuotaRoutingRule",
                      "odps:RemoveQuotaRoutingRule",
                      "odps:UpdateQuotaRoutingRule"         
                  ],
                  "Resource": "*"
              }
          ]
      }
      
    • 不允許建立非加密的MaxCompute專案權限原則。

      {
       "Version": "1",
       "Statement": [
       {
       "Effect": "Deny",
       "Action": "odps:CreateProject",
                  "Resource": "*",
                  "Condition": {
                      "Bool": {
                          "odps:Encryption": [
                              "false"
                          ]
                      }
                  }
              }
          ]
      }
    • 允許查看MaxCompute資源觀測資料的權限原則。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "odps:GetMetric",
                      "odps:GetQuotaUsage",
                      "odps:GetStorageSummaryCompared",
                      "odps:GetStorageSizeSummary",
                      "odps:SumDailyBillsByItem",
                      "odps:SumStorageMetricsByDate",
                      "odps:GetStorageAmountSummary",
                      "odps:ListStorageProjectsInfo",
                      "odps:ListTopJobInfo",
                      "odps:ListStorageTablesInfo",
                      "odps:ListStoragePartitionsInfo",
                      "odps:GetTableAccessInfoTopK",
                      "odps:GetTableIpAccessInfoTopK",
                      "odps:GetTableAccessInfo",
                      "odps:ListTableSlotDetail",
                      "odps:GetTunnelThroughputSummary"
                  ],
                  "Resource": "*"
              }
          ]
      }