MaxCompute支援您通過阿里雲帳號、RAM使用者或RAM角色訪問MaxCompute。本文為您介紹如何通過這三種方式訪問MaxCompute。
背景資訊
MaxCompute支援您通過阿里雲帳號、RAM使用者帳號或RAM角色認證使用者身份是否有效,如果身份資訊有效即可訪問MaxCompute。
建立的阿里雲帳號為主帳號,作為阿里雲系統識別的資源消費賬戶,主帳號擁有該賬戶的所有許可權。
當您需要邀請其他使用者協助使用MaxCompute服務,需要建立RAM使用者,並通過主帳號為RAM使用者授權。
RAM角色(RAM role)與RAM使用者一樣,都是RAM身份類型的一種。RAM角色是一種虛擬使用者,沒有確定的身份認證密鑰,需要由一個受信的實體使用者扮演才能正常使用。
通過阿里雲帳號訪問MaxCompute
通過阿里雲帳號訪問MaxCompute的流程如下:
可選:建立阿里雲帳號,並完成帳號認證及建立AccessKey,操作詳情請參見準備阿里雲帳號。
說明一個AccessKey包括AccessKey ID和AccessKey Secret兩部分。AccessKey ID用於檢索AccessKey,AccessKey Secret用於計算訊息簽名,所以需要嚴格保護以防泄露。當一個AccessKey需要更新時,您可以建立一個新的AccessKey,然後禁用舊的AccessKey。
禁用或解禁一個AccessKey時,需要等待15分鐘後才能完全生效。
使用建立的阿里雲帳號或基於AccessKey訪問MaxCompute。
方式一:使用阿里雲帳號登入阿里雲官網,進入MaxCompute控制台或DataWorks控制台,完成開通、建立MaxCompute專案空間、管理資料、系統管理使用者、分析資料等操作。
方式二:使用MaxCompute用戶端(odpscmd)基於AccessKey訪問MaxCompute專案空間。用戶端設定檔odps_config.ini中需要配置AccessKey資訊,詳情請參見安裝並配置MaxCompute用戶端。
方式三:藉助SDK基於AccessKey訪問MaxCompute專案空間。詳情請參見Java SDK或Python SDK。
說明由於阿里雲帳號的AccessKey泄露會對整個帳號的雲資源帶來風險,建議您不要直接使用阿里雲帳號執行MaxCompute日常的操作或管理。
通過RAM使用者帳號訪問MaxCompute
預設情況下,MaxCompute專案空間僅能識別阿里雲帳號體系。您可以自行添加對RAM帳號體系的支援。通過RAM使用者帳號訪問MaxCompute的流程如下:
可選:查看MaxCompute專案空間支援的帳號體系,增加對RAM帳號體系的支援。
登入MaxCompute用戶端(odpscmd),執行
add accountprovider ram;
命令,增加對RAM帳號體系的支援。執行
list accountproviders;
命令查看MaxCompute專案空間支援的帳號系統已增加RAM。
基於阿里雲帳號建立RAM使用者,並將RAM使用者添加至MaxCompute專案空間。操作詳情請參見準備RAM使用者和為工作空間增加空間成員。
說明MaxCompute專案空間僅識別RAM的帳號體系,將RAM帳號添加到MaxCompute專案空間中作為專案空間成員,MaxCompute專案空間不識別該RAM帳號在RAM許可權體系中的許可權。即您可以將自身的任意RAM帳號加入MaxCompute的某一個專案中,但MaxCompute在對該RAM帳號進行許可權驗證時,並不會考慮RAM中的許可權定義。
通過RAM角色訪問MaxCompute
RAM角色不代表某個特定的人員,可以由任何有需要的人員扮演,同時RAM角色沒有帳號/密碼或者AccessKey的認證憑證,需在角色扮演時使用臨時安全性權杖(STS)進行身份認證。
使用RAM角色訪問MaxCompute主要滿足以下情境需要:
進行角色SSO:阿里雲與企業進行角色SSO時,阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工資訊,無需進行阿里雲和企業IdP間的使用者同步,企業員工將使用指定的RAM角色來登入阿里雲。
阿里雲跨服務訪問:建立可信實體為阿里雲服務的RAM角色,阿里雲服務A可以使用這個RAM角色代表使用者訪問B服務。對於MaxCompute服務,支援將指定的RAM角色這一特殊帳號,像普通RAM帳號一樣,添加為MaxCompute專案空間的使用者。在專案空間中,把該RAM角色等同於普通RAM帳號進行授權管理,例如賦予建立資料對象、執行作業、寫入資料、讀取資料許可權。其它服務可通過扮演該RAM角色訪問MaxCompute專案空間,進行資料管理、資料分析、資料交換。
建立RAM角色,並定義RAM角色的信任策略,建立RAM角色操作詳情請參見建立可信實體為阿里雲帳號的RAM角色、建立可信實體為身份供應商的RAM角色或建立可信實體為阿里雲服務的RAM角色,定義RAM角色的信任策略操作詳情請參見修改RAM角色的信任策略。
將RAM角色添加至MaxCompute專案空間,操作詳情請參見添加RAM角色(專案層級)。
使用RAM角色訪問MaxCompute專案空間,詳情請參見SAML角色SSO概覽。