MaxCompute部分資源管理類的操作只能通過管理控制臺來完成,其中有些操作權限通過RAM進行鑒權,本文為您介紹MaxCompute管理相關操作對接RAM的權限點列表及權限策略。
權限點列表
RAM賬號一旦被允許("Effect": "Allow")進行ListProjects、GetProject操作,則允許查看主賬號下指定Region的所有MaxCompute項目列表與信息(包括未被加入的項目)。
RAM賬號被顯式拒絕("Effect": "Deny")進行ListProjects、GetProject操作,則無法查看主賬號下指定Region的任何MaxCompute項目信息(包括已被加入的項目)。
RAM賬號未被定義是否允許進行ListProjects、GetProject操作(即沒有授予任何相關RAM權限策略),則將能夠獲取所屬主賬號指定Region下的已被加入的MaxCompute項目列表與信息。
網絡連接、租戶級用戶與角色管理相關權限也支持通過MaxCompute租戶級別角色授權,若RAM權限策略配置的是通過(即策略中:
"Effect": "Allow"),則鑒權通過;若RAM權限未定義(即未定義相關RAM策略),則以租戶級別角色授權信息為準;若RAM權限配置的是拒絕(即策略中:"Effect": "Deny"),則鑒權不通過。
項目管理
操作類別 | Action | ARN | ARN示例 | 說明 |
項目管理 | odps:ListProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/* | 查看阿里云賬號指定Region下的所有Project列表。 |
odps:CreateProject | 創建Project。 | |||
odps:GetProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prj_1 | 獲取單個Project信息。 | |
odps:DeleteProject | 刪除Project。 | |||
odps:UpdateProjectStatus | 凍結或恢復Project。 | |||
odps:UpdateProjectDefaultQuota | 修改Project的默認Quota。 | |||
odps:ListOutboundInternetAddress | 查看外部網絡配置。 | |||
odps:UpdateOutboundInternetAddress | 更新外部網絡配置。 | |||
odps:CreateRole | 創建項目級別角色。 | |||
odps:DeleteRole | 刪除項目級別角色。 | |||
odps:UpdateRole | 更新項目級別角色。 | |||
odps:UpdateUsersToAdmin | 設置項目管理員,即Admin角色。 | |||
odps:UpdateUsersToSuperAdmin | 設置項目超級管理員,即Super_Administrator角色。 | |||
odps:UpdateUsersToRole | 項目級別角色的成員管理。 | |||
odps:ListUsers | acs:odps:{#regionId}:{#accountID}:user/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):user/* | 獲取子用戶列表。 | |
odps:GetRoleAcl | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prj_1 | 獲取項目級角色ACL授權信息。 | |
odps:GetRoleAclOnObject | 獲取角色對某對象的ACL授權。 | |||
odps:GetRolePolicy | 獲取角色Policy授權內容。 | |||
odps:ListResources | 獲取資源列表。 | |||
odps:ListRoles | 獲取項目級角色列表。 | |||
odps:CreatePackage | acs:odps:{#regionId}:{#accountId}:package/{#packageName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):package/pkg_1 | 創建Package。 | |
odps:DeletePackage | 刪除Package。 | |||
odps:GetPackage | 獲取某一個Package。 | |||
odps:ListPackages | 批量獲取Package。 | |||
odps:UpdatePackage | 更新Package。 | |||
odps:ListUserPermissionsAsStringByProject | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prj_1 | 列出用戶權限信息,并以STRING格式顯示。 | |
odps:ListUserPermissionsByProject | 列出用戶權限信息,并以JSON格式顯示。 | |||
odps:ListUsersInfoByProject | 列出項目內所有用戶包含角色安全信息。 | |||
odps:ListProjectUsers | 列出項目內所有用戶。 | |||
odps:CreateSchema | acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prj_1 | 創建Schema。 | |
odps:CheckRamRole | acs:odps:{#regionId}:{#accountId}:ramrole/{#roleName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):ramrole/AliyunMaxComputeEncryptionDefaultRole | 存儲加密功能中檢測SLR是否授權。 | |
odps:GetAsyncJobResult | acs:odps:{#regionId}:{#accountId}:asyncjob/* | acs:odps:cn-hangzhou:12345(阿里云賬號):asyncjob/* | 獲取異步接口調用返回結果。 說明 為解決API調用超時問題,部分API、部分場景使用的是異步請求方式,在發起調用之后,需要通過該接口異步獲取結果,此時需要用戶額外擁有此權限點。涉及到的場景有:根據項目級角色獲取用戶列表。 |
Quota管理
操作類別 | Action | ARN | ARN示例 | 說明 |
Quota管理 | odps:UpdateQuota | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 修改一級或二級Quota。 |
odps:UpdateQuotaPlan | 修改Quota計劃。 | |||
odps:UpdateSubQuotas | 創建二級自定義Quota。 | |||
odps:UpdateQuotaSchedule | 修改時間計劃。 | |||
odps:CreateQuotaPlan | 創建Quota計劃。 | |||
odps:DeleteQuotaPlan | 刪除Quota計劃。 | |||
odps:CreateQuotaSchedule | 創建時間計劃。 | |||
odps:ListQuotaRoutingRules | acs:odps:{#regionId}:{#accountId}:quotas/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/* | 查看二級Quota規則列表。 | |
odps:CreateQuotaRoutingRule | 添加二級Quota規則。 | |||
odps:GetQuotaRoutingRule | acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1#quota_1_1(一級quota名稱#二級quota名稱。可以是nickname也可以是name。) | 查看二級Quota規則。 | |
odps:RemoveQuotaRoutingRule | 移除二級Quota規則。 | |||
odps:UpdateQuotaRoutingRule | 修改二級Quota規則。 | |||
odps:CreateQuota | acs:odps:{#regionId}:{#accountId}:quota/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 創建Quota。 | |
odps:DeleteQuota | 刪除Quota。 | |||
odps:GetQuota | 獲取Quota。 | |||
odps:ListQuotas | 查詢Quota列表。 | |||
odps:ListQuotasPlans | 查詢Quota計劃列表。 | |||
odps:GetQuotaPlan | 獲取Quota計劃。 | |||
odps:GetQuotaSchedule | 獲取Quota分時計劃。 |
Notebook管理
操作類別 | Action | ARN | ARN示例 | 說明 |
Notebook管理 | odps:CreateNotebookTemplate | acs:odps:{#regionId}:{#accountId}:notebooktemplate/{#notebookTemplatesId} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):notebooktemplate/notebookid | 創建Notebook實例模板。 |
odps:ListNotebookTemplates | 查看Notebook實例模板列表。 | |||
odps:GetNotebookTemplate | 查看Notebook實例模板詳情。 | |||
odps:UpdateNotebookTemplate | 更新Notebook實例模板。 | |||
odps:DeleteNotebookTemplate | 刪除Notebook實例模板。 | |||
odps:CreateNotebookStorage | acs:odps:{#regionId}:{#accountId}:notebookstorage/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):notebookstorage/* | 創建Notebook實例掛載存儲。 | |
odps:ListNotebookStorage | 查看Notebook實例掛載存儲。 | |||
odps:CreateNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):notebookinstance/* | 創建Notebook實例。 | |
odps:ListNotebookInstances | 查看Notebook實例列表。 | |||
odps:GetNotebookInstance | acs:odps:{#regionId}:{#accountId}:notebookinstance/{#notebookInstanceId} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):notebookinstance/* | 查看Notebook實例詳情。 | |
odps:StartNotebookInstance | 啟動Notebook實例。 | |||
odps:StopNotebookInstance | 停止Notebook實例。 | |||
odps:UpdateNotebookInstance | 更新Notebook實例。 | |||
odps:DeleteNotebookInstance | 刪除Notebook實例。 |
資源觀測
操作類別 | Action | ARN | ARN示例 | 說明 |
資源觀測 | odps:GetMetric | acs:odps:{#regionId}:{#accountId}:metric/{#category} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):metric/storage | 包括開放存儲、外表緩存、作業觀測、存儲趨勢等監控曲線。 |
資源觀測(計算資源) | odps:GetQuotaUsage | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 查看計算資源或者數據傳輸資源使用詳情。 |
資源觀測(存儲資源) | odps:GetStorageSizeSummary | acs:odps:{#regionId}:{#accountId}:storage/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):storage/* | 獲取當日存儲用量匯總數據。 |
odps:GetStorageAmountSummary | 獲取當日存儲分布匯總數據。 | |||
odps:GetStorageSummaryCompared | 獲取存儲用量變化數據。 | |||
odps:ListStorageProjectsInfo | 獲取項目存儲明細。 | |||
odps:SumDailyBillsByItem | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):bills/* | 獲取存儲費用(目錄價)。 | |
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):storageMetrics/* | 獲取每日存儲用量。 | |
odps:ListStorageTablesInfo | acs:odps:{#regionId}:{#accountId}:storage/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):storage/prj_1 | 獲取表存儲明細。 | |
odps:ListStoragePartitionsInfo | 獲取分區存儲明細。 | |||
資源觀測(數據傳輸服務) | odps:GetTableAccessInfoTopK | acs:odps:{#regionId}:{#accountId}:quotas/{#nickname} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 查看數據傳輸資源表訪問熱度TopK。 |
odps:GetTableIpAccessInfoTopK | 查看數據傳輸資源訪問來源IP熱度TopK。 | |||
odps:GetTableAccessInfo | 查看數據傳輸資源表訪問熱度信息。 | |||
odps:ListTableSlotDetail | 查看數據傳輸資源的數據傳輸詳情信息。 | |||
odps:GetTunnelThroughputSummary | 查看數據傳輸資源的數據傳輸數據量匯總。 | |||
資源觀測(作業性能) | odps:ListTopJobInfo | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):storage/prj_1 | 獲取消耗資源、耗時Top作業。 |
作業運維
操作類別 | Action | ARN | ARN示例 | 說明 |
作業運維 | odps:ListJobInfos | acs:odps:{#regionId}:{#accountId}:job/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):job/* | 查看作業信息列表。 |
odps:ListJobSnapshotInfos | 查看作業快照列表。 | |||
odps:KillJobs | 終止作業。 | |||
odps:GetJobResourceUsage | 查看作業資源信息匯總。 | |||
odps:GetRunningJobs | 查看正在運行的作業列表。 | |||
odps:GetJobSummaryByPreCompute | 查看作業狀態匯總。 | |||
odps:GetJobLogView | acs:odps:{#regionId}:{#accountId}:job/{#instanceId} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):job/20240828****ju4h | 獲取作業的Logview。 | |
odps:GetJobAnalyzeQuotaUsage | 查看作業的計算資源使用情況。 | |||
odps:GetJobAnalyzeQuotaDistribution | acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):job/quota_1 | 查看作業的計算資源使用分布情況。 |
物化視圖
操作類別 | Action | ARN | ARN示例 | 說明 |
物化視圖 | odps:ListGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):globalconfig/* | 查看全局配置開關(目前僅支持物化視圖)。 |
odps:GetGlobalConfig | acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):globalconfig/mvrecommendation | 獲取單個全局配置開關(目前僅支持物化視圖)。 | |
odps:CloseGlobalConfig | 關閉單個全局配置開關(目前僅支持物化視圖)。 | |||
odps:UpdateGlobalConfig | 修改單個全局配置開關(目前僅支持物化視圖)。 | |||
odps:ListMvRecommendationSupportProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/* | 查看開啟物化視圖推薦的項目列表。 | |
odps:CheckMvRecommendationSupportProjects | 檢查開啟物化視圖推薦的項目列表。 | |||
odps:ListMvRecommendations | 查看推薦物化視圖列表。 | |||
odps:GetMvRecommendation | 查看推薦物化視圖信息。 | |||
odps:AddMvRecommendationSupportProject | acs:odps:{#regionId}:{#accountId}:projects/{#projectName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prj_1 | 添加開啟物化視圖推薦的項目。 | |
odps:RemoveMvRecommendationSupportProject | 移除開啟物化視圖推薦的項目。 | |||
odps:CreateMaterializedView | 創建物化視圖。 | |||
odps:GetMaterializedViewStatus | 查看物化視圖的創建狀態。 | |||
odps:ListMaterializedViews | 查看所有創建的物化視圖。 | |||
odps:GetMaterializedView | 查看物化視圖的信息。 | |||
odps:UpdateMaterializedView | 更新物化視圖的信息。 | |||
odps:DeleteMaterializedView | 刪除物化視圖。 | |||
odps:ListProjectMvRecommendations | 查看項目的推薦物化視圖列表。 | |||
odps:GetProjectMvRecommendation | 查看項目的推薦物化視圖信息。 | |||
odps:ListMvRecommendationsByProject | 查看項目的推薦物化視圖列表。 | |||
odps:GetMvRecommendationByProject | 查看項目的推薦物化視圖信息。 | |||
odps:ListMvRecommendationJobInfo | 查看推薦物化視圖涉及的作業信息。 | |||
odps:ListMaterializedViewJobInfo | 查看物化視圖涉及的作業信息。 |
遷移服務(MMA)
操作類別 | Action | ARN | ARN示例 | 說明 |
遷移服務 | odps:ListMmsDataSources | acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#datasourceId} | acs:odps:cn-shanghai:12345(阿里云賬號uid):mmsdatasource/2000029 | 查看數據源列表。 |
odps:GetMmsDataSource | 獲取某個數據源詳情。 | |||
odps:CreateMmsDataSource | 創建數據源。 | |||
odps:UpdateMmsDataSource | 更新數據源。 | |||
odps:DeleteMmsDataSource | 刪除數據源。 | |||
odps:CreateMmsFetchMetadataJob | 創建元數據更新任務。 | |||
odps:ListMmsJobs | 獲取遷移計劃列表。 | |||
odps:GetMmsJob | 獲取某個遷移計劃。 | |||
odps:CreateMmsJob | 創建遷移計劃。 | |||
odps:DeleteMmsJob | 刪除遷移計劃。 | |||
odps:StartMmsJob | 開始運行遷移計劃。 | |||
odps:StopMmsJob | 停止運行遷移計劃。 | |||
odps:RetryMmsJob | 重試遷移計劃。 | |||
odps:ListMmsTasks | 獲取遷移任務列表。 | |||
odps:GetMmsTask | 獲取某個遷移任務。 | |||
odps:ListMmsTaskLogs | 獲取遷移任務日志列表。 | |||
odps:GetMmsAsyncTask | 獲取某個異步任務。 | |||
odps:UpdateMmsAsyncTask | 更新異步任務狀態。 | |||
odps:DeleteMmsAsyncTask | 刪除異步任務。 | |||
odps:ListMmsDbs | 獲取數據源中的Database列表。 | |||
odps:GetMmsDb | 獲取數據源中某個Database。 | |||
odps:ListMmsTables | 獲取數據源中的Table列表。 | |||
odps:GetMmsTable | 獲取數據源中某個Table。 | |||
odps:ListMmsPartitions | 獲取數據源中的partition列表。 | |||
odps:GetMmsPartition | 獲取數據源中某個partition。 | |||
odps:ListMmsAgents | acs:odps:{#regionId}:{#accountId}:mmsagent | acs:odps:cn-shanghai:12345(阿里云賬號uid):mmsagent | 獲取主賬號下已經運行的Agent列表。 | |
odps:CreateMmsAuthFile | acs:odps:{#regionId}:{#accountId}:mmsauthfile | acs:odps:cn-shanghai:12345(阿里云賬號uid):mmsauthfile | 創建認證文件。 |
成本管理
操作類別 | Action | ARN | ARN示例 | 說明 |
成本分析 | odps:SumBills | acs:odps:{#regionId}:{#accountId}:bills/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):bills/* | 查看費用分析。 |
odps:SumBillsByDate | ||||
odps:SumDailyBillsByItem | ||||
odps:SumComputeMetricsByRecord | acs:odps:{#regionId}:{#accountId}:computeMetrics/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):computeMetrics/* | 查看計算用量分析。 | |
odps:SumComputeMetricsByUsage | ||||
odps:ListComputeMetricsByInstance | ||||
odps:ListComputeMetricsBySignature | ||||
odps:SumStorageMetricsByDate | acs:odps:{#regionId}:{#accountId}:storageMetrics/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):storageMetrics/* | 查看存儲用量分析。 | |
odps:SumStorageMetricsByType | ||||
odps:ListInstances | acs:odps:*:{#accountId}:instance/* | acs:odps:*:12345(阿里云賬號):instance/* | 列舉實例。 | |
成本優化-包年包月計算資源變配推薦 | odps:CreateQuotaHistoryRequestAnalysis | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 發起成本優化(包年包月)配額組使用情況分析請求。 |
odps:GetQuotaHistoryRequestAnalysis | 獲取成本優化(包年包月)配額組使用情況分析結果。 | |||
odps:CreateQuotaScheduleEffectAnalysis | 發起成本優化(包年包月)現狀評估請求。 | |||
odps:GetQuotaScheduleEffectAnalysis | 獲取成本優化(包年包月)現狀評估結果。 | |||
odps:CreateQuotaScheduleSuggestion | 發起成本優化(包年包月)推薦配置請求。 | |||
odps:GetQuotaScheduleSuggestion | 獲取成本優化(包年包月)推薦配置結果。 | |||
成本優化- 按量付費項目變配至包年包月Quota | odps:ListQuotaRecentlyActiveProjects | acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):quotas/quota_1(一級qutoa名稱) | 獲取成本優化(按量付費)項目列表。 |
odps:CreateQuotaHistoryRequestAnalysisWithProjects | acs:odps:{#regionId}:{#accountId}:projects/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):projects/prjname | 發起成本優化(按量付費)項目及配額組使用情況分析請求。 | |
odps:GetQuotaHistoryRequestAnalysisWithProjects | 獲取成本優化(按量付費)項目及配額組使用情況分析結果。 | |||
odps:CreateQuotaScheduleEffectAnalysisWithProjects | 發起成本優化(按量付費)現狀評估請求。 | |||
odps:GetQuotaScheduleEffectAnalysisWithProjects | 獲取成本優化(按量付費)現狀評估結果。 | |||
odps:CreateQuotaScheduleSuggestionWithProjects | 發起成本優化(按量付費)推薦配置請求。 | |||
odps:GetQuotaScheduleSuggestionWithProjects | 獲取成本優化(按量付費)推薦配置結果。 |
租戶管理
操作類別 | Action | ARN | ARN示例 | 說明 |
租戶管理-租戶屬性 | odps:GetTenantSetting | acs:odps:{#accountId}:tenant/settings/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenant/settings/* | 查看租戶配置。 |
odps:UpdateTenantSetting | acs:odps:{#accountId}:tenant/settings/{#key} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenant/settings/namespaceSchema | 修改租戶配置。 | |
租戶管理-網絡連接(NetworkLink) | odps:ListNetworkLinks | acs:odps:{#regionId}:{#accountId}:networklink/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):networkLinks/* | 查看租戶下所有網絡連接列表。 |
odps:CreateNetworkLink | 創建網絡連接。 | |||
odps:GetNetworkLink | acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):networkLinks/networklink_1(NetworkLink名稱) | 獲取單個網絡連接信息。 | |
odps:RemoveNetworkLink | 刪除網絡連接。 | |||
租戶管理-鏡像管理 | odps:ListImage | acs:odps:{#regionId}:{#accountId}:image/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):image/* | 查詢自定義鏡像列表。 |
odps:AddImage | acs:odps:cn-hangzhou:12345(阿里云賬號uid):image/* | 新建自定義鏡像。 | ||
odps:GetImage | acs:odps:{#regionId}:{#accountId}:image/{#name} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):image/image1 | 查詢自定義鏡像信息。 | |
odps:RemoveImage | acs:odps:cn-hangzhou:12345(阿里云賬號uid):image/{name} | 刪除自定義鏡像。 | ||
租戶管理-外部數據源 | odps:ListTenantObjectBindings | acs:odps:{#regionId}:{#accountId}:tenant/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenant/* | 列出關于租戶側資源綁定的Project。 |
odps:UpdateTenantObjectBindings | 更新關于租戶側某一個資源綁定的Project。 | |||
odps:UpdateForeignServer | acs:odps:{#regionId}:{#accountId}:foreignservers/{#foreignServerName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):foreignservers/foreign_1 | 更新外部數據源。 | |
odps:DeleteForeignServer | 刪除外部數據源 | |||
odps:GetForeignServer | 獲取外部數據源 | |||
odps:ListForeignServers | acs:odps:{#regionId}:{#accountId}:foreignservers/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):foreignservers/* | 查看外部數據源列表 | |
odps:CreateForeignServer | 創建外部數據源。 | |||
租戶級用戶與角色管理 | odps:ListTenantUsers | acs:odps:{#accountId}:tenantUsers/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenantUsers/* | 查看租戶級用戶列表。 |
odps:AddTenantUsers | 添加租戶級用戶。 | |||
odps:RemoveTenantUsers | 刪除租戶級用戶。 | |||
odps:UpdateTenantRolesToUser | 修改單個用戶的租戶級角色。 | |||
odps:ListAllTenantRoles | acs:odps{#accountId}}:tenantRoles/* | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenantRoles/* | 查看租戶級角色列表。 | |
odps:CreateTenantRole | 創建租戶級角色。 | |||
odps:UpdateTenantRolePolicy | acs:odps:{#accountId}:tenantRoles/{#roleName} | acs:odps:cn-hangzhou:12345(阿里云賬號uid):tenantRoles/tenantrole_1(租戶級角色名稱) | 更新租戶級角色Policy權限策略。 | |
odps:GetTenantRolePolicy | 獲取單個租戶級角色Policy權限策略。 | |||
odps:RemoveTenantRole | 刪除租戶級角色。 |
條件(Condition)說明
Condition用于指定授權生效的限制條件,由一個或多個條件子句構成。一個條件子句由條件操作類型、條件關鍵字和條件值組成。關于Condition的更多信息請參見條件(Condition)。
MaxCompute Condition中的條件操作類型和條件關鍵字如下:
條件操作類型:
條件操作類型
支持類型
布爾類型(Boolean)
Bool
條件關鍵字:
Condition
說明
odps:Encryption
用于在創建MaxCompute項目時限制項目的加密情況。取值范圍如下:
true:需要加密。
false:不加密。
MaxCompute數據加密相關信息請參見存儲加密。
權限策略
RAM支持兩種類型的權限策略:由阿里云管理的系統策略和由客戶管理的自定義策略。
RAM系統策略。
MaxCompute在RAM上提供了兩種系統策略:
AliyunMaxComputeFullAccess:此策略權限將包含上述MaxCompute接入RAM的所有權限點,您可以直接給RAM用戶或RAM角色授權此權限策略。但可能會造成RAM用戶或RAM角色權限過大的情況,請謹慎操作。AliyunMaxComputeReadOnlyAccess:此策略將包含上述MaxCompute接入RAM的所有列表操作(List)和讀操作(Get)權限點,您可以直接給RAM用戶或RAM角色授權此權限策略。
RAM自定義策略。
您可以通過RAM控制臺創建自定義權限策略以進行精細化的權限管控,詳情請參見創建自定義權限策略。RAM策略包含版本號(Version)和授權語句(Statement),每條授權語句又包含授權效力(Effect)、操作(Action)、資源(Resource)以及可選的限制條件(Condition)。其中Action和Resource參數值取自權限點列表中的Action和ARN(Aliyun Resource Name),詳情請參見權限點列表;Condition參數值取自條件說明,詳情請參見條件(Condition)說明。更多權限策略的語法和結構內容請參見權限策略語法和結構。
自定義權限策略示例如下。
支持MaxCompute Project對象管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:ListProjects", "odps:GetProject", "odps:CreateProject", "odps:DeleteProject", "odps:UpdateProjectDefaultQuota", "odps:UpdateProjectStatus", "odps:UpdateUsersToSuperAdmin", "odps:ListOutboundInternetAddress", "odps:UpdateOutboundInternetAddress" ], "Resource": "*" } ] }支持MaxCompute Quota對象管理權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:UpdateQuota", "odps:UpdateQuotaPlan", "odps:UpdateSubQuotas", "odps:UpdateQuotaSchedule", "odps:CreateQuotaPlan", "odps:DeleteQuotaPlan", "odps:CreateQuotaSchedule", "odps:ListQuotaRoutingRules", "odps:CreateQuotaRoutingRule", "odps:GetQuotaRoutingRule", "odps:RemoveQuotaRoutingRule", "odps:UpdateQuotaRoutingRule" ], "Resource": "*" } ] }不允許創建非加密的MaxCompute項目權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "odps:CreateProject", "Resource": "*", "Condition": { "Bool": { "odps:Encryption": [ "false" ] } } } ] }允許查看MaxCompute資源觀測數據的權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "odps:GetMetric", "odps:GetQuotaUsage", "odps:GetStorageSummaryCompared", "odps:GetStorageSizeSummary", "odps:SumDailyBillsByItem", "odps:SumStorageMetricsByDate", "odps:GetStorageAmountSummary", "odps:ListStorageProjectsInfo", "odps:ListTopJobInfo", "odps:ListStorageTablesInfo", "odps:ListStoragePartitionsInfo", "odps:GetTableAccessInfoTopK", "odps:GetTableIpAccessInfoTopK", "odps:GetTableAccessInfo", "odps:ListTableSlotDetail", "odps:GetTunnelThroughputSummary" ], "Resource": "*" } ] }