全部產品
Search

搜尋本產品

    :使用者認證

    文件中心

    :使用者認證

    更新時間:Jun 19, 2024

    MaxCompute支援您通過阿里雲帳號、RAM使用者或RAM角色訪問MaxCompute。本文為您介紹如何通過這三種方式訪問MaxCompute。

    背景資訊

    MaxCompute支援您通過阿里雲帳號、RAM使用者帳號或RAM角色認證使用者身份是否有效,如果身份資訊有效即可訪問MaxCompute。

    • 通過阿里雲帳號訪問MaxCompute

      建立的阿里雲帳號為主帳號,作為阿里雲系統識別的資源消費賬戶,主帳號擁有該賬戶的所有許可權。

    • 通過RAM使用者帳號訪問MaxCompute

      當您需要邀請其他使用者協助使用MaxCompute服務,需要建立RAM使用者,並通過主帳號為RAM使用者授權。

    • 通過RAM角色訪問MaxCompute

      RAM角色(RAM role)與RAM使用者一樣,都是RAM身份類型的一種。RAM角色是一種虛擬使用者,沒有確定的身份認證密鑰,需要由一個受信的實體使用者扮演才能正常使用。

    通過阿里雲帳號訪問MaxCompute

    通過阿里雲帳號訪問MaxCompute的流程如下:

    1. 可選:建立阿里雲帳號,並完成帳號認證及建立AccessKey,操作詳情請參見準備阿里雲帳號

      說明

      • 一個AccessKey包括AccessKey ID和AccessKey Secret兩部分。AccessKey ID用於檢索AccessKey,AccessKey Secret用於計算訊息簽名,所以需要嚴格保護以防泄露。當一個AccessKey需要更新時,您可以建立一個新的AccessKey,然後禁用舊的AccessKey。

      • 禁用或解禁一個AccessKey時,需要等待15分鐘後才能完全生效。

    2. 使用建立的阿里雲帳號或基於AccessKey訪問MaxCompute。

      說明

      由於阿里雲帳號的AccessKey泄露會對整個帳號的雲資源帶來風險,建議您不要直接使用阿里雲帳號執行MaxCompute日常的操作或管理。

    通過RAM使用者帳號訪問MaxCompute

    預設情況下,MaxCompute專案空間僅能識別阿里雲帳號體系。您可以自行添加對RAM帳號體系的支援。通過RAM使用者帳號訪問MaxCompute的流程如下:

    1. 可選:查看MaxCompute專案空間支援的帳號體系,增加對RAM帳號體系的支援。

      1. 登入MaxCompute用戶端(odpscmd),執行add accountprovider ram;命令,增加對RAM帳號體系的支援。

      2. 執行list accountproviders;命令查看MaxCompute專案空間支援的帳號系統已增加RAM。

    2. 基於阿里雲帳號建立RAM使用者,並將RAM使用者添加至MaxCompute專案空間。操作詳情請參見準備RAM使用者為工作空間增加空間成員

      說明

      MaxCompute專案空間僅識別RAM的帳號體系,將RAM帳號添加到MaxCompute專案空間中作為專案空間成員,MaxCompute專案空間不識別該RAM帳號在RAM許可權體系中的許可權。即您可以將自身的任意RAM帳號加入MaxCompute的某一個專案中,但MaxCompute在對該RAM帳號進行許可權驗證時,並不會考慮RAM中的許可權定義。

    通過RAM角色訪問MaxCompute

    RAM角色不代表某個特定的人員,可以由任何有需要的人員扮演,同時RAM角色沒有帳號/密碼或者AccessKey的認證憑證,需在角色扮演時使用臨時安全性權杖(STS)進行身份認證。

    使用RAM角色訪問MaxCompute主要滿足以下情境需要:

    • 進行角色SSO:阿里雲與企業進行角色SSO時,阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工資訊,無需進行阿里雲和企業IdP間的使用者同步,企業員工將使用指定的RAM角色來登入阿里雲。

    • 阿里雲跨服務訪問:建立可信實體為阿里雲服務的RAM角色,阿里雲服務A可以使用這個RAM角色代表使用者訪問B服務。對於MaxCompute服務,支援將指定的RAM角色這一特殊帳號,像普通RAM帳號一樣,添加為MaxCompute專案空間的使用者。在專案空間中,把該RAM角色等同於普通RAM帳號進行授權管理,例如賦予建立資料對象、執行作業、寫入資料、讀取資料許可權。其它服務可通過扮演該RAM角色訪問MaxCompute專案空間,進行資料管理、資料分析、資料交換。

    1. 建立RAM角色,並定義RAM角色的信任策略,建立RAM角色操作詳情請參見建立可信實體為阿里雲帳號的RAM角色建立可信實體為身份供應商的RAM角色建立可信實體為阿里雲服務的RAM角色,定義RAM角色的信任策略操作詳情請參見修改RAM角色的信任策略

    2. 將RAM角色添加至MaxCompute專案空間,操作詳情請參見添加RAM角色(專案層級)

    3. 使用RAM角色訪問MaxCompute專案空間,詳情請參見SAML角色SSO概覽