MaxCompute部分资源管理类的操作只能通过管理控制台来完成,其中有些操作权限通过RAM进行鉴权,本文为您介绍MaxCompute管理相关操作对接RAM的权限点列表及权限策略。
权限点列表
RAM账号一旦被允许("Effect": "Allow")进行ListProjects、GetProject操作,则允许查看主账号下指定Region的所有MaxCompute项目列表与信息(包括未被加入的项目)。
RAM账号被显式拒绝("Effect": "Deny")进行ListProjects、GetProject操作,则无法查看主账号下指定Region的任何MaxCompute项目信息(包括已被加入的项目)。
RAM账号未被定义是否允许进行ListProjects、GetProject操作(即没有授予任何相关RAM权限策略),则将能够获取所属主账号指定Region下的已被加入的MaxCompute项目列表与信息。
网络连接、租户级用户与角色管理相关权限也支持通过MaxCompute租户级别角色授权,若RAM权限策略配置的是通过(即策略中:
"Effect": "Allow"
),则鉴权通过;若RAM权限未定义(即未定义相关RAM策略),则以租户级别角色授权信息为准;若RAM权限配置的是拒绝(即策略中:"Effect": "Deny"
),则鉴权不通过。
项目管理
操作类别 | Action | ARN | ARN示例 | 说明 |
项目管理 | odps:ListProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看阿里云账号指定Region下的所有Project列表。 |
odps:CreateProject | 创建Project。 | |||
odps:GetProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 获取单个Project信息。 | |
odps:DeleteProject | 删除Project。 | |||
odps:UpdateProjectStatus | 冻结或恢复Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的默认Quota。 | |||
odps:ListOutboundInternetAddress | 查看外部网络配置。 | |||
odps:UpdateOutboundInternetAddress | 更新外部网络配置。 | |||
odps:CreateRole | 创建项目级别角色。 | |||
odps:DeleteRole | 删除项目级别角色。 | |||
odps:UpdateRole | 更新项目级别角色。 | |||
odps:UpdateUsersToAdmin | 设置项目管理员,即Admin角色。 | |||
odps:UpdateUsersToSuperAdmin | 设置项目超级管理员,即Super_Administrator角色。 | |||
odps:UpdateUsersToRole | 项目级别角色的成员管理。 | |||
odps:ListUsers | acs:odps:{#regionId}:{#accountID}:user/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):user/* | 获取子用户列表。 | |
odps:GetRoleAcl | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 获取项目级角色ACL授权信息。 | |
odps:GetRoleAclOnObject | 获取角色对某对象的ACL授权。 | |||
odps:GetRolePolicy | 获取角色Policy授权内容。 | |||
odps:ListResources | 获取资源列表。 | |||
odps:ListRoles | 获取项目级角色列表。 | |||
odps:CreatePackage | acs:odps:{#regionId}:{#accountId}:package/{#packageName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):package/pkg_1 | 创建Package。 | |
odps:DeletePackage | 删除Package。 | |||
odps:GetPackage | 获取某一个Package。 | |||
odps:ListPackages | 批量获取Package。 | |||
odps:UpdatePackage | 更新Package。 | |||
odps:ListUserPermissionsAsStringByProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 列出用户权限信息,并以STRING格式显示。 | |
odps:ListUserPermissionsByProject | 列出用户权限信息,并以JSON格式显示。 | |||
odps:ListUsersInfoByProject | 列出项目内所有用户包含角色安全信息。 | |||
odps:ListProjectUsers | 列出项目内所有用户。 | |||
odps:CreateSchema | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 创建Schema。 | |
odps:CheckRamRole | acs:odps:{#regionId}:{#accountId}:ramrole/{#roleName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):ramrole/AliyunMaxComputeEncryptionDefaultRole | 存储加密功能中检测SLR是否授权。 | |
odps:GetAsyncJobResult | acs:odps:{#regionId}:{#accountId}:asyncjob/* | acs:odps:cn-hangzhou:12345(阿里云账号):asyncjob/* | 获取异步接口调用返回结果。 说明 为解决API调用超时问题,部分API、部分场景使用的是异步请求方式,在发起调用之后,需要通过该接口异步获取结果,此时需要用户额外拥有此权限点。涉及到的场景有:根据项目级角色获取用户列表。 |
Quota管理
操作类别 | Action | ARN | ARN示例 | 说明 |
Quota管理 | odps:UpdateQuota | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 修改一级或二级Quota。 |
odps:UpdateQuotaPlan | 修改Quota计划。 | |||
odps:UpdateSubQuotas | 创建二级自定义Quota。 | |||
odps:UpdateQuotaSchedule | 修改时间计划。 | |||
odps:CreateQuotaPlan | 创建Quota计划。 | |||
odps:DeleteQuotaPlan | 删除Quota计划。 | |||
odps:CreateQuotaSchedule | 创建时间计划。 | |||
odps:ListQuotaRoutingRules | acs:odps:{#regionId}:{#accountId}:quotas/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/* | 查看二级Quota规则列表。 | |
odps:CreateQuotaRoutingRule | 添加二级Quota规则。 | |||
odps:GetQuotaRoutingRule | acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1#quota_1_1(一级quota名称#二级quota名称。可以是nickname也可以是name。) | 查看二级Quota规则。 | |
odps:RemoveQuotaRoutingRule | 移除二级Quota规则。 | |||
odps:UpdateQuotaRoutingRule | 修改二级Quota规则。 | |||
odps:CreateQuota | acs:odps:{#regionId}:{#accountId}:quota/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 创建Quota。 | |
odps:DeleteQuota | 删除Quota。 | |||
odps:GetQuota | 获取Quota。 | |||
odps:ListQuotas | 查询Quota列表。 | |||
odps:ListQuotasPlans | 查询Quota计划列表。 | |||
odps:GetQuotaPlan | 获取Quota计划。 | |||
odps:GetQuotaSchedule | 获取Quota分时计划。 |
Notebook管理
操作类别 | Action | ARN | ARN示例 | 说明 |
Notebook管理 | odps:CreateNotebookTemplate | acs:odps:{#regionId}:{#accountId}:notebooktemplate/{#notebookTemplatesId} | acs:odps:cn-hangzhou:12345(阿里云账号uid):notebooktemplate/notebookid | 创建Notebook实例模板。 |
odps:ListNotebookTemplates | 查看Notebook实例模板列表。 | |||
odps:GetNotebookTemplate | 查看Notebook实例模板详情。 | |||
odps:UpdateNotebookTemplate | 更新Notebook实例模板。 | |||
odps:DeleteNotebookTemplate | 删除Notebook实例模板。 | |||
odps:CreateNotebookStorage | acs:odps:{#regionId}:{#accountId}:notebookstorage/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):notebookstorage/* | 创建Notebook实例挂载存储。 | |
odps:ListNotebookStorage | 查看Notebook实例挂载存储。 | |||
odps:CreateNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):notebookinstance/* | 创建Notebook实例。 | |
odps:ListNotebookInstances | 查看Notebook实例列表。 | |||
odps:GetNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/{#notebookInstanceId} | acs:odps:cn-hangzhou:12345(阿里云账号uid):notebookinstance/* | 查看Notebook实例详情。 | |
odps:StartNotebookInstance | 启动Notebook实例。 | |||
odps:StopNotebookInstance | 停止Notebook实例。 | |||
odps:UpdateNotebookInstance | 更新Notebook实例。 | |||
odps:DeleteNotebookInstance | 删除Notebook实例。 |
资源观测
操作类别 | Action | ARN | ARN示例 | 说明 |
资源观测 | odps:GetMetric | acs:odps:{#regionId}:{#accountId}:metric/{#category} | acs:odps:cn-hangzhou:12345(阿里云账号uid):metric/storage | 包括开放存储、外表缓存、作业观测、存储趋势等监控曲线。 |
资源观测(计算资源) | odps:GetQuotaUsage | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 查看计算资源或者数据传输资源使用详情。 |
资源观测(存储资源) | odps:GetStorageSizeSummary | acs:odps:{#regionId}:{#accountId}:storage/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/* | 获取当日存储用量汇总数据。 |
odps:GetStorageAmountSummary | 获取当日存储分布汇总数据。 | |||
odps:GetStorageSummaryCompared | 获取存储用量变化数据。 | |||
odps:ListStorageProjectsInfo | 获取项目存储明细。 | |||
odps:SumDailyBillsByItem | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/* | 获取存储费用(目录价)。 | |
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/* | 获取每日存储用量。 | |
odps:ListStorageTablesInfo | acs:odps:{#regionId}:{#accountId}:storage/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/prj_1 | 获取表存储明细。 | |
odps:ListStoragePartitionsInfo | 获取分区存储明细。 | |||
资源观测(数据传输服务) | odps:GetTableAccessInfoTopK | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 查看数据传输资源表访问热度TopK。 |
odps:GetTableIpAccessInfoTopK | 查看数据传输资源访问来源IP热度TopK。 | |||
odps:GetTableAccessInfo | 查看数据传输资源表访问热度信息。 | |||
odps:ListTableSlotDetail | 查看数据传输资源的数据传输详情信息。 | |||
odps:GetTunnelThroughputSummary | 查看数据传输资源的数据传输数据量汇总。 | |||
资源观测(作业性能) | odps:ListTopJobInfo | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storage/prj_1 | 获取消耗资源、耗时Top作业。 |
作业运维
操作类别 | Action | ARN | ARN示例 | 说明 |
作业运维 | odps:ListJobInfos | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/* | 查看作业信息列表。 |
odps:ListJobSnapshotInfos | 查看作业快照列表。 | |||
odps:KillJobs | 终止作业。 | |||
odps:GetJobResourceUsage | 查看作业资源信息汇总。 | |||
odps:GetRunningJobs | 查看正在运行的作业列表。 | |||
odps:GetJobSummaryByPreCompute | 查看作业状态汇总。 | |||
odps:GetJobLogView | acs:odps:{#regionId}:{#accountId}:job/{#instanceId} | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/20240828****ju4h | 获取作业的Logview。 | |
odps:GetJobAnalyzeQuotaUsage | 查看作业的计算资源使用情况。 | |||
odps:GetJobAnalyzeQuotaDistribution | acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname} | acs:odps:cn-hangzhou:12345(阿里云账号uid):job/quota_1 | 查看作业的计算资源使用分布情况。 |
物化视图
操作类别 | Action | ARN | ARN示例 | 说明 |
物化视图 | odps:ListGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):globalconfig/* | 查看全局配置开关(目前仅支持物化视图)。 |
odps:GetGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):globalconfig/mvrecommendation | 获取单个全局配置开关(目前仅支持物化视图)。 | |
odps:CloseGlobalConfig | 关闭单个全局配置开关(目前仅支持物化视图)。 | |||
odps:UpdateGlobalConfig | 修改单个全局配置开关(目前仅支持物化视图)。 | |||
odps:ListMvRecommendationSupportProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/* | 查看开启物化视图推荐的项目列表。 | |
odps:CheckMvRecommendationSupportProjects | 检查开启物化视图推荐的项目列表。 | |||
odps:ListMvRecommendations | 查看推荐物化视图列表。 | |||
odps:GetMvRecommendation | 查看推荐物化视图信息。 | |||
odps:AddMvRecommendationSupportProject | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prj_1 | 添加开启物化视图推荐的项目。 | |
odps:RemoveMvRecommendationSupportProject | 移除开启物化视图推荐的项目。 | |||
odps:CreateMaterializedView | 创建物化视图。 | |||
odps:GetMaterializedViewStatus | 查看物化视图的创建状态。 | |||
odps:ListMaterializedViews | 查看所有创建的物化视图。 | |||
odps:GetMaterializedView | 查看物化视图的信息。 | |||
odps:UpdateMaterializedView | 更新物化视图的信息。 | |||
odps:DeleteMaterializedView | 删除物化视图。 | |||
odps:ListProjectMvRecommendations | 查看项目的推荐物化视图列表。 | |||
odps:GetProjectMvRecommendation | 查看项目的推荐物化视图信息。 | |||
odps:ListMvRecommendationsByProject | 查看项目的推荐物化视图列表。 | |||
odps:GetMvRecommendationByProject | 查看项目的推荐物化视图信息。 | |||
odps:ListMvRecommendationJobInfo | 查看推荐物化视图涉及的作业信息。 | |||
odps:ListMaterializedViewJobInfo | 查看物化视图涉及的作业信息。 |
迁移服务(MMA)
操作类别 | Action | ARN | ARN示例 | 说明 |
迁移服务 | odps:ListMmsDataSources | acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#datasourceId} | acs:odps:cn-shanghai:12345(阿里云账号uid):mmsdatasource/2000029 | 查看数据源列表。 |
odps:GetMmsDataSource | 获取某个数据源详情。 | |||
odps:CreateMmsDataSource | 创建数据源。 | |||
odps:UpdateMmsDataSource | 更新数据源。 | |||
odps:DeleteMmsDataSource | 删除数据源。 | |||
odps:CreateMmsFetchMetadataJob | 创建元数据更新任务。 | |||
odps:ListMmsJobs | 获取迁移计划列表。 | |||
odps:GetMmsJob | 获取某个迁移计划。 | |||
odps:CreateMmsJob | 创建迁移计划。 | |||
odps:DeleteMmsJob | 删除迁移计划。 | |||
odps:StartMmsJob | 开始运行迁移计划。 | |||
odps:StopMmsJob | 停止运行迁移计划。 | |||
odps:RetryMmsJob | 重试迁移计划。 | |||
odps:ListMmsTasks | 获取迁移任务列表。 | |||
odps:GetMmsTask | 获取某个迁移任务。 | |||
odps:ListMmsTaskLogs | 获取迁移任务日志列表。 | |||
odps:GetMmsAsyncTask | 获取某个异步任务。 | |||
odps:UpdateMmsAsyncTask | 更新异步任务状态。 | |||
odps:DeleteMmsAsyncTask | 删除异步任务。 | |||
odps:ListMmsDbs | 获取数据源中的Database列表。 | |||
odps:GetMmsDb | 获取数据源中某个Database。 | |||
odps:ListMmsTables | 获取数据源中的Table列表。 | |||
odps:GetMmsTable | 获取数据源中某个Table。 | |||
odps:ListMmsPartitions | 获取数据源中的partition列表。 | |||
odps:GetMmsPartition | 获取数据源中某个partition。 | |||
odps:ListMmsAgents | acs:odps:{#regionId}:{#accountId}:mmsagent | acs:odps:cn-shanghai:12345(阿里云账号uid):mmsagent | 获取主账号下已经运行的Agent列表。 | |
odps:CreateMmsAuthFile | acs:odps:{#regionId}:{#accountId}:mmsauthfile | acs:odps:cn-shanghai:12345(阿里云账号uid):mmsauthfile | 创建认证文件。 |
成本管理
操作类别 | Action | ARN | ARN示例 | 说明 |
成本分析 | odps:SumBills | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):bills/* | 查看费用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:{#regionId}:{#accountId}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):computeMetrics/* | 查看计算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):storageMetrics/* | 查看存储用量分析。 | |
odps:SumStorageMetricsByType | ||||
odps:ListInstances | acs:odps:*:{#accountId}:instance/* | acs:odps:*:12345(阿里云账号):instance/* | 列举实例。 | |
成本优化-包年包月计算资源变配推荐 | odps:CreateQuotaHistoryRequestAnalysis | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 发起成本优化(包年包月)配额组使用情况分析请求。 |
odps:GetQuotaHistoryRequestAnalysis | 获取成本优化(包年包月)配额组使用情况分析结果。 | |||
odps:CreateQuotaScheduleEffectAnalysis | 发起成本优化(包年包月)现状评估请求。 | |||
odps:GetQuotaScheduleEffectAnalysis | 获取成本优化(包年包月)现状评估结果。 | |||
odps:CreateQuotaScheduleSuggestion | 发起成本优化(包年包月)推荐配置请求。 | |||
odps:GetQuotaScheduleSuggestion | 获取成本优化(包年包月)推荐配置结果。 | |||
成本优化- 按量付费项目变配至包年包月Quota | odps:ListQuotaRecentlyActiveProjects | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):quotas/quota_1(一级qutoa名称) | 获取成本优化(按量付费)项目列表。 |
odps:CreateQuotaHistoryRequestAnalysisWithProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):projects/prjname | 发起成本优化(按量付费)项目及配额组使用情况分析请求。 | |
odps:GetQuotaHistoryRequestAnalysisWithProjects | 获取成本优化(按量付费)项目及配额组使用情况分析结果。 | |||
odps:CreateQuotaScheduleEffectAnalysisWithProjects | 发起成本优化(按量付费)现状评估请求。 | |||
odps:GetQuotaScheduleEffectAnalysisWithProjects | 获取成本优化(按量付费)现状评估结果。 | |||
odps:CreateQuotaScheduleSuggestionWithProjects | 发起成本优化(按量付费)推荐配置请求。 | |||
odps:GetQuotaScheduleSuggestionWithProjects | 获取成本优化(按量付费)推荐配置结果。 |
租户管理
操作类别 | Action | ARN | ARN示例 | 说明 |
租户管理-租户属性 | odps:GetTenantSetting | acs:odps:{#accountId}:tenant/settings/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenant/settings/* | 查看租户配置。 |
odps:UpdateTenantSetting | acs:odps:{#accountId}:tenant/settings/{#key} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenant/settings/namespaceSchema | 修改租户配置。 | |
租户管理-网络连接(NetworkLink) | odps:ListNetworkLinks | acs:odps:{#regionId}:{#accountId}:networklink/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/* | 查看租户下所有网络连接列表。 |
odps:CreateNetworkLink | 创建网络连接。 | |||
odps:GetNetworkLink | acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):networkLinks/networklink_1(NetworkLink名称) | 获取单个网络连接信息。 | |
odps:RemoveNetworkLink | 删除网络连接。 | |||
租户管理-镜像管理 | odps:ListImage | acs:odps:{#regionId}:{#accountId}:image/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/* | 查询自定义镜像列表。 |
odps:AddImage | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/* | 新建自定义镜像。 | ||
odps:GetImage | acs:odps:{#regionId}:{#accountId}:image/{#name} | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/image1 | 查询自定义镜像信息。 | |
odps:RemoveImage | acs:odps:cn-hangzhou:12345(阿里云账号uid):image/{name} | 删除自定义镜像。 | ||
租户管理-外部数据源 | odps:ListTenantObjectBindings | acs:odps:{#regionId}:{#accountId}:tenant/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenant/* | 列出关于租户侧资源绑定的Project。 |
odps:UpdateTenantObjectBindings | 更新关于租户侧某一个资源绑定的Project。 | |||
odps:UpdateForeignServer | acs:odps:{#regionId}:{#accountId}:foreignservers/{#foreignServerName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):foreignservers/foreign_1 | 更新外部数据源。 | |
odps:DeleteForeignServer | 删除外部数据源 | |||
odps:GetForeignServer | 获取外部数据源 | |||
odps:ListForeignServers | acs:odps:{#regionId}:{#accountId}:foreignservers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):foreignservers/* | 查看外部数据源列表 | |
odps:CreateForeignServer | 创建外部数据源。 | |||
租户级用户与角色管理 | odps:ListTenantUsers | acs:odps:{#accountId}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantUsers/* | 查看租户级用户列表。 |
odps:AddTenantUsers | 添加租户级用户。 | |||
odps:RemoveTenantUsers | 删除租户级用户。 | |||
odps:UpdateTenantRolesToUser | 修改单个用户的租户级角色。 | |||
odps:ListAllTenantRoles | acs:odps{#accountId}}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/* | 查看租户级角色列表。 | |
odps:CreateTenantRole | 创建租户级角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:{#accountId}:tenantRoles/{#roleName} | acs:odps:cn-hangzhou:12345(阿里云账号uid):tenantRoles/tenantrole_1(租户级角色名称) | 更新租户级角色Policy权限策略。 | |
odps:GetTenantRolePolicy | 获取单个租户级角色Policy权限策略。 | |||
odps:RemoveTenantRole | 删除租户级角色。 |
条件(Condition)说明
Condition用于指定授权生效的限制条件,由一个或多个条件子句构成。一个条件子句由条件操作类型、条件关键字和条件值组成。关于Condition的更多信息请参见条件(Condition)。
MaxCompute Condition中的条件操作类型和条件关键字如下:
条件操作类型:
条件操作类型
支持类型
布尔类型(Boolean)
Bool
条件关键字:
Condition
说明
odps:Encryption
用于在创建MaxCompute项目时限制项目的加密情况。取值范围如下:
true:需要加密。
false:不加密。
MaxCompute数据加密相关信息请参见存储加密。
权限策略
RAM支持两种类型的权限策略:由阿里云管理的系统策略和由客户管理的自定义策略。
RAM系统策略。
MaxCompute在RAM上提供了两种系统策略:
AliyunMaxComputeFullAccess
:此策略权限将包含上述MaxCompute接入RAM的所有权限点,您可以直接给RAM用户或RAM角色授权此权限策略。但可能会造成RAM用户或RAM角色权限过大的情况,请谨慎操作。AliyunMaxComputeReadOnlyAccess
:此策略将包含上述MaxCompute接入RAM的所有列表操作(List)和读操作(Get)权限点,您可以直接给RAM用户或RAM角色授权此权限策略。
RAM自定义策略。
您可以通过RAM控制台创建自定义权限策略以进行精细化的权限管控,详情请参见创建自定义权限策略。RAM策略包含版本号(Version)和授权语句(Statement),每条授权语句又包含授权效力(Effect)、操作(Action)、资源(Resource)以及可选的限制条件(Condition)。其中Action和Resource参数值取自权限点列表中的Action和ARN(Aliyun Resource Name),详情请参见权限点列表;Condition参数值取自条件说明,详情请参见条件(Condition)说明。更多权限策略的语法和结构内容请参见权限策略语法和结构。
自定义权限策略示例如下。
支持MaxCompute Project对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota", "odps:UpdateProjectStatus", "odps:UpdateUsersToSuperAdmin", "odps:ListOutboundInternetAddress", "odps:UpdateOutboundInternetAddress" ], "Resource": "*" } ] }
支持MaxCompute Quota对象管理权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule", "odps:ListQuotaRoutingRules", "odps:CreateQuotaRoutingRule", "odps:GetQuotaRoutingRule", "odps:RemoveQuotaRoutingRule", "odps:UpdateQuotaRoutingRule" ], "Resource": "*" } ] }
不允许创建非加密的MaxCompute项目权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }
允许查看MaxCompute资源观测数据的权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:GetMetric", "odps:GetQuotaUsage", "odps:GetStorageSummaryCompared", "odps:GetStorageSizeSummary", "odps:SumDailyBillsByItem", "odps:SumStorageMetricsByDate", "odps:GetStorageAmountSummary", "odps:ListStorageProjectsInfo", "odps:ListTopJobInfo", "odps:ListStorageTablesInfo", "odps:ListStoragePartitionsInfo", "odps:GetTableAccessInfoTopK", "odps:GetTableIpAccessInfoTopK", "odps:GetTableAccessInfo", "odps:ListTableSlotDetail", "odps:GetTunnelThroughputSummary" ], "Resource": "*" } ] }