為確保RAM用戶能正常使用Databricks 數據洞察控制臺的功能,您需要使用云賬號登錄訪問控制RAM(Resource Access Management),授予RAM用戶相應的權限。
背景信息
訪問控制RAM是阿里云提供的資源訪問控制服務,更多詳情請參見什么是訪問控制。以下舉例訪問控制RAM的典型場景:
用戶:如果您購買了多臺Databricks 數據洞察集群實例,您的組織里有多個用戶(如運維、開發或數據分析)需要使用這些實例,您可以創建一個策略允許部分用戶使用這些實例。避免了將同一個AccessKey泄露給多人的風險。
用戶組:您可以創建多個用戶組,并授予不同權限策略,授權過程與授權用戶過程相同,可以起到批量管理的效果。
權限策略
權限策略分為系統策略和自定義策略。
系統策略:阿里云提供多種具有不同管理目的的默認權限策略。Databricks 數據洞察經常使用的系統策略:
AliyunDDIFullAccess:管理Databricks 數據洞察的權限,主要包括對Databricks 數據洞察的所有資源的所有操作權限。
AliyunDDIDevelopAccess:Databricks 數據洞察開發者權限,與AliyunDDIFullAccess策略相比,不授予集群的創建和釋放等操作權限。
自定義策略:需要您精準地設計權限策略,適用于熟悉阿里云各種云服務API以及具有精細化控制需求的用戶。詳細方法可以參見創建RAM自定義策略。
系統策略默認僅為RAM用戶提供查看OSS Bucket和Object列表權限,RAM用戶無法編輯OSS Bucket和Object。如需更多OSS權限策略請參見OSS數據權限隔離
授權建議
首次開通購買,如果安全合規條件允許 ,我們推薦使用阿里云主賬號或具有AdministratorAccess權限的RAM子用戶/角色。
如果需要更精細的權限管理,您需要使用阿里云主賬號為您的RAM用戶賬號做如下授權。
授權系統策略 AliyunDDIFullAccess
如需購買包年包月集群,需要使用自定義策略授權支付訂單的權限點
bss:PayOrder因Databricks數據洞察產品依賴RAM跨服務授權,首次開通產品服務需要RAM的管理權限進行授權,建議通過主賬號授權AliyunRAMFullAccess策略或者添加如下自定義策略:
{
"Statement": [
{
"Action": [
"ram:CreateRole",
"ram:AttachPolicyToRole"
],
"Resource": [
"acs:ram:*:*:role/AliyunDDIEcsDefaultRole",
"acs:ram:*:system:policy/AliyunDDIEcsDefaultRolePolicy"
],
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "acs:ram:*:*:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"ddi.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}以上三個鑒權策略,AliyunDDIFullAccess影響后續Dabricks數據洞察產品使用;另外兩個策略只在您首次開通和購買Dabricks數據洞察集群時需要授予。
授權RAM用戶
請根據上述權限策略為您的RAM賬號授權。具體操作步驟請參見為RAM用戶授權。