創建MaxCompute項目后,如果您需要其他RAM用戶協助開發,您可以給對應RAM用戶進行授權,完成后RAM用戶即可操作項目中的表、資源、函數或作業。本文為您介紹如何為RAM用戶進行授權。
前提條件
已創建MaxCompute項目。
如果您還沒有創建MaxCompute項目,請先創建項目,操作詳情請參見創建MaxCompute項目。
已創建RAM用戶。
創建RAM用戶操作,請參見準備RAM用戶。
授權操作:通過DataWorks
如果您通過DataWorks控制臺創建DataWorks工作空間時同步創建的MaxCompute項目,并且希望后續使用DataWorks進行MaxCompute的作業開發治理,您可直接在DataWorks的控制臺上對用戶進行授權。
DataWorks為您提供了完整的數據開發治理的權限管控方案,以下以標準模式的DataWorks為例,為您介紹在開發環境和生產環境隔離的情況下,DataWorks的授權方式。
開發環境:
添加DataWorks工作空間成員,后續此成員即可在DataWorks上開發MaxCompute作業。
在DataWorks控制臺上添加成員的操作詳情請參見為工作空間添加空間成員。
添加DataWorks成員后,不同成員角色擁有的MaxCompute對應的權限映射關系請參見MaxCompute和DataWorks的權限關系。
生產環境:
您可以在DataWorks的數據地圖中查找生產環境中的表,并申請對應表權限。
申請表權限的操作請參見申請表權限。
授權操作:通過MaxCompute
您也可在MaxCompute控制臺上直接為項目進行權限管控,將權限授權給其他用戶。MaxCompute推薦您使用角色授權的方式為用戶授權,即為某類用戶創建一個用戶角色,設置角色所擁有的權限,然后將角色授權給對應的RAM用戶,使得RAM用戶擁有角色的權限。
如上所述,通過MaxCompute進行授權操作時,您需先規劃好用戶角色并為角色授權,然后再將用戶角色授權給RAM用戶,完成授權。
規劃用戶角色并為角色授權。
MaxCompute為您提供了兩個內置的管理員角色:admin和super_administrator,建議您根據需要授權的人員實際權限需求,遵循權限最小原則,為對應的人員規劃并自定義創建符合要求的角色。創建角色的操作如下。
登錄MaxCompute控制臺,在左上角選擇地域后,在項目管理頁簽中對應項目的操作列中,單擊管理,進入項目詳情頁面。
當即頂部的角色權限頁簽,單擊新增項目級別角色,在彈出的頁面中設置角色權限。
如圖所示,在準備工作階段,建議您設置角色類型為Resource,通過ACL方式快速地為指定的項目、表授予對應的操作權限。
將角色授權給RAM用戶。
創建好自定義用戶角色后,您可以將角色授權給RAM用戶,完成后RAM用戶即擁有角色的權限。
在項目管理的角色權限頁簽中,單擊對應角色權限操作列的成員管理。
根據界面引導選擇待授權的用戶,單擊確定。
當界面提示添加成功后,對應RAM用戶即擁有對應的MaxCompute權限。
MaxCompute為您提供的多粒度的權限管控方式和豐富的授權方法,后續管理員在權限管理時可根據需要進一步規劃并管理人員權限,詳情可參考權限概述。
后續步驟
請準備MaxCompute項目開發環境并安裝相應工具。更多準備環境及安全工具操作,請參見選擇連接工具。