MaxCompute支持您通過阿里云賬號、RAM用戶或RAM角色訪問MaxCompute。本文為您介紹如何通過這三種方式訪問MaxCompute。
背景信息
MaxCompute支持您通過阿里云賬號、RAM用戶賬號或RAM角色認證用戶身份是否有效,如果身份信息有效即可訪問MaxCompute。
創建的阿里云賬號為主賬號,作為阿里云系統識別的資源消費賬戶,主賬號擁有該賬戶的所有權限。
當您需要邀請其他用戶協助使用MaxCompute服務,需要創建RAM用戶,并通過主賬號為RAM用戶授權。
RAM角色(RAM role)與RAM用戶一樣,都是RAM身份類型的一種。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要由一個受信的實體用戶扮演才能正常使用。
通過阿里云賬號訪問MaxCompute
通過阿里云賬號訪問MaxCompute的流程如下:
可選:創建阿里云賬號,并完成實名認證及創建AccessKey,操作詳情請參見準備阿里云賬號。
說明一個AccessKey包括AccessKey ID和AccessKey Secret兩部分。AccessKey ID用于檢索AccessKey,AccessKey Secret用于計算消息簽名,所以需要嚴格保護以防泄露。當一個AccessKey需要更新時,您可以創建一個新的AccessKey,然后禁用舊的AccessKey。
禁用或解禁一個AccessKey時,需要等待15分鐘后才能完全生效。
使用創建的阿里云賬號或基于AccessKey訪問MaxCompute。
方式一:使用阿里云賬號登錄阿里云官網,進入MaxCompute控制臺或DataWorks控制臺,完成開通、創建MaxCompute項目空間、管理數據、管理用戶、分析數據等操作。
方式二:使用MaxCompute客戶端(odpscmd)基于AccessKey訪問MaxCompute項目空間。客戶端配置文件odps_config.ini中需要配置AccessKey信息,詳情請參見安裝并配置MaxCompute客戶端。
方式三:借助SDK基于AccessKey訪問MaxCompute項目空間。詳情請參見Java SDK或Python SDK。
說明由于阿里云賬號的AccessKey泄露會對整個賬號的云資源帶來風險,建議您不要直接使用阿里云賬號執行MaxCompute日常的操作或管理。
通過RAM用戶賬號訪問MaxCompute
默認情況下,MaxCompute項目空間僅能識別阿里云賬號體系。您可以自行添加對RAM賬號體系的支持。通過RAM用戶賬號訪問MaxCompute的流程如下:
可選:查看MaxCompute項目空間支持的賬號體系,增加對RAM賬號體系的支持。
登錄MaxCompute客戶端(odpscmd),執行
add accountprovider ram;命令,增加對RAM賬號體系的支持。執行
list accountproviders;命令查看MaxCompute項目空間支持的賬號系統已增加RAM。
基于阿里云賬號創建RAM用戶,并將RAM用戶添加至MaxCompute項目空間。操作詳情請參見準備RAM用戶和為工作空間添加空間成員。
說明MaxCompute項目空間僅識別RAM的賬號體系,將RAM賬號添加到MaxCompute項目空間中作為項目空間成員,MaxCompute項目空間不識別該RAM賬號在RAM權限體系中的權限。即您可以將自身的任意RAM賬號加入MaxCompute的某一個項目中,但MaxCompute在對該RAM賬號進行權限驗證時,并不會考慮RAM中的權限定義。
通過RAM角色訪問MaxCompute
RAM角色不代表某個特定的人員,可以由任何有需要的人員扮演,同時RAM角色沒有賬號/密碼或者AccessKey的認證憑證,需在角色扮演時使用臨時安全令牌(STS)進行身份認證。
使用RAM角色訪問MaxCompute主要滿足以下場景需要:
進行角色SSO:阿里云與企業進行角色SSO時,阿里云是服務提供商(SP),而企業自有的身份管理系統則是身份提供商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工信息,無需進行阿里云和企業IdP間的用戶同步,企業員工將使用指定的RAM角色來登錄阿里云。
阿里云跨服務訪問:創建可信實體為阿里云服務的RAM角色,阿里云服務A可以使用這個RAM角色代表用戶訪問B服務。對于MaxCompute服務,支持將指定的RAM角色這一特殊賬號,像普通RAM賬號一樣,添加為MaxCompute項目空間的用戶。在項目空間中,把該RAM角色等同于普通RAM賬號進行授權管理,例如賦予創建數據對象、執行作業、寫入數據、讀取數據權限。其它服務可通過扮演該RAM角色訪問MaxCompute項目空間,進行數據管理、數據分析、數據交換。
創建RAM角色,并定義RAM角色的信任策略,創建RAM角色操作詳情請參見創建可信實體為阿里云賬號的RAM角色、創建可信實體為身份提供商的RAM角色或創建可信實體為阿里云服務的RAM角色,定義RAM角色的信任策略操作詳情請參見修改RAM角色的信任策略。
將RAM角色添加至MaxCompute項目空間,操作詳情請參見添加RAM角色(項目級別)。
使用RAM角色訪問MaxCompute項目空間,詳情請參見SAML角色SSO概覽。