本文為您介紹MaxCompute中涉及的使用者與許可權。
使用者、角色與許可權緊密關聯,角色是許可權的集合。
您可以將使用者添加至MaxCompute專案中,並通過授權操作,授予使用者指定對象的指定許可權。更多使用者管理操作,詳情請參見使用者規劃與管理。更多授權操作,詳情請參見MaxCompute許可權。
您可以根據使用者的操作範圍,快速將MaxCompute已定義的角色授予使用者。更多授權操作,詳情請參見為使用者綁定角色。
您也可以根據業務需要自訂角色,並對角色授權後,將角色賦予使用者。更多自訂角色操作,詳情請參見角色規劃。
如果需要查看使用者或角色的許可權資訊,詳情請參見查看許可權
MaxCompute支援的使用者與角色
MaxCompute支援的使用者和角色如下。
類型 | 名稱 | 描述 |
使用者 | 阿里雲帳號 | 通過阿里雲官網註冊的帳號。 |
RAM使用者 | 由阿里雲帳號建立的使用者,協助阿里雲帳號完成資料處理。 | |
RAM角色 | RAM角色(RAM role)與RAM使用者一樣,都是RAM身份類型的一種。RAM角色是一種虛擬使用者,沒有確定的身份認證密鑰,需要被一個受信的實體使用者扮演才能正常使用。 | |
角色 | Super_Administrator | MaxCompute內建的管理角色,專案的超級管理員,擁有操作專案內所有資源的許可權和管理類許可權。 專案所有者或具備Super_Administrator角色的使用者可以將Super_Administrator角色賦予其他使用者。 |
Admin | MaxCompute內建的管理角色,擁有操作專案內所有資源的許可權和部分基礎管理類許可權。 專案所有者可以將Admin角色賦予其他使用者。 | |
自訂角色 | 非MaxCompute內建的角色,需要自訂。可以參照DataWorks中的角色(以Role_開頭)定義。 |
除角色外,ProjectOwner(專案所有者)作為專案的擁有者,擁有專案的所有許可權。除專案所有者之外,任何人都無權訪問此專案內的對象,除非有專案所有者的授權許可。
DataWorks中也涉及角色概念,DataWorks及MaxCompute的角色對比,請參見MaxCompute和DataWorks的許可權關係。如果您通過DataWorks執行添加使用者或授權操作,請參見授權給其他使用者。
使用者操作授權指引
阿里雲帳號與RAM使用者/RAM角色在各工具或平台上的操作支援情況及需要賦予的角色資訊如下。
操作類型 | 操作項 | 支援的工具或平台 | 阿里雲帳號身份 | 阿里雲帳號角色 | RAM使用者/RAM角色 | RAM使用者/RAM角色在MaxCompute專案中的角色 | 依賴 |
開通MaxCompute服務、購買資源 | 開通、購買、儲值、續約、升級、降配 |
| 支援。MaxCompute預設僅阿里雲主帳號擁有管理MaxCompute服務的許可權。 | 不涉及 | 支援 | 不涉及 |
|
Project管理 | 建立、刪除Project |
| 支援 | 專案所有者 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取CreateProject、DeleteProject權限原則 |
跨Project訪問 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備跨專案存取權限的角色。 | 需要由阿里雲帳號授權。 | |
修改專案預設計算Quota | MaxCompute控制台(新版) | 支援 | 專案所有者 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取UpdateProjectDefaultQuota權限原則。 | |
設定IP白名單 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:Super_Administrator及自訂的具備跨專案安全配置許可權的角色。 | 需要由阿里雲帳號授權 | |
全表掃描 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:Super_Administrator。 | 需要由阿里雲帳號授權。 | |
資料保護 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:Super_Administrator。 | 需要由阿里雲帳號授權。 | |
修改專案狀態 | MaxCompute控制台(新版) | 支援 | 專案所有者 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取UpdateProjectStatus權限原則。 | |
添加、授權、管理專案成員 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:Super_Administrator及自訂的具備跨相應專案管理類許可權的角色。 | 需要由阿里雲帳號授權。 | |
Quota管理 | 修改一級或二級Quota | MaxCompute控制台(新版) | 支援 | 不涉及 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取UpdateQuota權限原則。 |
建立二級自訂Quota | MaxCompute控制台(新版) | 支援 | 不涉及 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取UpdateSubQuotas權限原則。 | |
建立、修改、刪除Quota計劃 | MaxCompute控制台(新版) | 支援 | 不涉及 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取CreateQuotaPlan、UpdateQuotaPlan、DeleteQuotaPlan權限原則。 | |
建立、修改時間計劃 | MaxCompute控制台(新版) | 支援 | 不涉及 | 支援 | 不涉及 | RAM帳號依賴:需要在RAM上擷取createQuotaSchedule、UpdateQuotaSchedule、權限原則。 | |
作業營運 | 查看作業、作業營運、作業監控 | MaxCompute管家 | 支援 | 專案所有者 | 支援 | MaxCompute角色:Super_Administrator。 | RAM使用者需要由阿里雲帳號授予Super_Administrator角色。 |
代碼開發 | JAVA UDF |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備開發Java UDF許可權的角色。 | 不涉及 |
Python UDF |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備開發Python UDF許可權的角色。 | 不涉及 | |
資料管理 | 查看錶列表 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備查看錶列表操作許可權的角色。 | 不涉及 |
建立表 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備建立表操作許可權的角色。 | 不涉及 | |
更新表 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備更新表操作許可權的角色。 | 不涉及 | |
刪除表 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備刪除表操作許可權的角色。 | 不涉及 | |
單表授權(ACL) |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色。 | 不涉及 | |
預覽中繼資料 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備查看中繼資料操作許可權的角色。 | 不涉及 | |
預覽跨Project表 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備跨專案查看錶操作許可權的角色。 | 需要由阿里雲帳號授予。 | |
資源(Resource)管理 | 查看資源清單 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備查看資源操作許可權的角色。 | 不涉及 |
建立、刪除資源 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備建立、刪除資源操作許可權的角色。 | 不涉及 | |
上傳資源 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備上傳資源操作許可權的角色。 | 不涉及 | |
函數開發 | 查看函數列表、詳情 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備查看函數操作許可權的角色。 | 不涉及 |
建立、刪除函數 |
| 支援 | 專案所有者 | 支援 | MaxCompute角色:MaxCompute內建的角色及自訂的具備建立、刪除函數操作許可權的角色。 | 不涉及 |