為避免產生項目數據安全性問題,推薦您創建RAM用戶并交由其他用戶使用,實現對參與MaxCompute項目的人員權限進行嚴格把控。本文為您介紹如何創建RAM用戶。
前提條件
已創建阿里云賬號。
更多創建阿里云賬號操作,請參見準備阿里云賬號。
注意事項
RAM用戶歸屬于阿里云賬號,本身不擁有資源,也沒有獨立的計量計費機制。
RAM用戶在阿里云各產品中操作產生的費用,將在RAM用戶歸屬的阿里云賬號下統一計費。
操作流程
基于RAM產品,通過阿里云賬號創建RAM用戶賬號。
通過阿里云賬號為RAM用戶創建AccessKey,保證后續RAM用戶提交的作業可以順利運行。
將新創建的RAM用戶賬號、AccessKey信息轉交給其他用戶。
步驟一:創建RAM用戶
使用阿里云賬號登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇控制臺訪問。
控制臺訪問:設置控制臺登錄密碼、重置密碼策略和多因素認證策略。
OpenAPI調用訪問:自動為RAM用戶生成訪問密鑰(AccessKey),支持通過API或其他開發工具訪問阿里云。
單擊確定。
在用戶信息頁面,單擊下載CSV文件或操作列的復制,保存RAM用戶的登錄名稱和登錄密碼。
步驟二:創建訪問密鑰AccessKey
如果阿里云賬號允許RAM用戶自主管理AccessKey,RAM用戶也可以自行創建AccessKey。更多自主管理AccessKey操作,請參見管理RAM用戶安全設置。
一個RAM用戶下最多可以創建2個AccessKey。
登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶名稱。
在用戶AccessKey區域,單擊創建AccessKey。
根據界面提示完成安全驗證。
在創建AccessKey對話框,查看AccessKey ID和AccessKey Secret。
您可以單擊下載CSV文件,下載AccessKey信息。單擊復制,復制AccessKey信息。
單擊確定。
(可選)步驟三:為RAM用戶授權
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在添加權限面板,為RAM用戶添加權限。
選擇授權應用范圍。
整個云賬號:權限在當前阿里云賬號內生效。
指定資源組:權限在指定的資源組內生效。
說明指定資源組授權生效的前提是該云服務已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組管理指定的ECS實例。
指定授權主體。
授權主體即需要添加權限的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,包括:
系統策略:由阿里云創建,策略的版本更新由阿里云維護,用戶只能使用不能修改。更多信息,請參見支持RAM的云服務。
自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創建、更新和刪除自定義策略。更多信息,請參見創建自定義權限策略。
說明每次最多綁定5條策略,如需綁定更多策略,請分多次操作。
在權限策略名稱列表下單擊需要的權限策略,添加至已選擇權限列表。
AliyunDataWorksFullAccess:RAM賬號開通MaxCompute服務、通過舊版控制臺新增、刪除項目需要授權此策略。
AliyunMaxComputeFullAccess:RAM賬號通過MaxCompute新版控制臺進行項目、Quota管理可授權此策略,或自定義權限策略。新版控制臺對接RAM的權限點請參見RAM權限。
說明如果后續RAM用戶需要自主開通MaxCompute服務,需要阿里云賬號授予RAM用戶AliyunBSSOrderAccess權限。
單擊確定。
單擊完成。
步驟四:將RAM用戶賬號交由其他用戶使用
將創建的RAM用戶賬號交由其他用戶使用時,需要提供如下信息:
RAM用戶的賬號信息,包括:
RAM用戶登錄的方式與登錄鏈接。
RAM用戶可在通用登錄鏈接或專屬登錄地址中輸入賬號信息,登錄阿里云控制臺,您可根據實際情況將對應的登錄鏈接提供給其他用戶,詳情請參見RAM用戶登錄阿里云控制臺。
RAM用戶所屬阿里云賬號的域名。
打開RAM控制臺,在左側導航欄的身份管理列表下單擊設置,單擊高級設置,即可獲取默認域名和域別名。
后續步驟
準備好RAM用戶后,即可開通MaxCompute服務,請參見開通MaxCompute和DataWorks。