本文為您介紹MaxCompute中涉及的用戶與權限。
用戶、角色與權限緊密關聯,角色是權限的集合。
您可以將用戶添加至MaxCompute項目中,并通過授權操作,授予用戶指定對象的指定權限。更多用戶管理操作,詳情請參見用戶規劃與管理。更多授權操作,詳情請參見MaxCompute權限。
您可以根據用戶的操作范圍,快速將MaxCompute已定義的角色授予用戶。更多授權操作,詳情請參見為用戶綁定角色。
您也可以根據業務需要自定義角色,并對角色授權后,將角色賦予用戶。更多自定義角色操作,詳情請參見角色規劃。
如果需要查看用戶或角色的權限信息,詳情請參見查看權限
MaxCompute支持的用戶與角色
MaxCompute支持的用戶和角色如下。
類型 | 名稱 | 描述 |
用戶 | 阿里云賬號 | 通過阿里云官網注冊的賬號。 |
RAM用戶 | 由阿里云賬號創建的用戶,協助阿里云賬號完成數據處理。 | |
RAM角色 | RAM角色(RAM role)與RAM用戶一樣,都是RAM身份類型的一種。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要被一個受信的實體用戶扮演才能正常使用。 | |
角色 | Super_Administrator | MaxCompute內置的管理角色,項目的超級管理員,擁有操作項目內所有資源的權限和管理類權限。 項目所有者或具備Super_Administrator角色的用戶可以將Super_Administrator角色賦予其他用戶。 |
Admin | MaxCompute內置的管理角色,擁有操作項目內所有資源的權限和部分基礎管理類權限。 項目所有者可以將Admin角色賦予其他用戶。 | |
自定義角色 | 非MaxCompute內置的角色,需要自定義。可以參照DataWorks中的角色(以Role_開頭)定義。 |
除角色外,ProjectOwner(項目所有者)作為項目的擁有者,擁有項目的所有權限。除項目所有者之外,任何人都無權訪問此項目內的對象,除非有項目所有者的授權許可。
DataWorks中也涉及角色概念,DataWorks及MaxCompute的角色對比,請參見MaxCompute和DataWorks的權限關系。如果您通過DataWorks執行添加用戶或授權操作,請參見授權給其他用戶。
用戶操作授權指引
阿里云賬號與RAM用戶/RAM角色在各工具或平臺上的操作支持情況及需要賦予的角色信息如下。
操作類型 | 操作項 | 支持的工具或平臺 | 阿里云賬號身份 | 阿里云賬號角色 | RAM用戶/RAM角色 | RAM用戶/RAM角色在MaxCompute項目中的角色 | 依賴 |
開通MaxCompute服務、購買資源 | 開通、購買、充值、續費、升級、降配 |
| 支持。MaxCompute默認僅阿里云主賬號擁有管理MaxCompute服務的權限。 | 不涉及 | 支持 | 不涉及 |
|
Project管理 | 創建、刪除Project |
| 支持 | 項目所有者 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取CreateProject、DeleteProject權限策略 |
跨Project訪問 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備跨項目訪問權限的角色。 | 需要由阿里云賬號授權。 | |
修改項目默認計算Quota | MaxCompute控制臺(新版) | 支持 | 項目所有者 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取UpdateProjectDefaultQuota權限策略。 | |
設置IP白名單 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:Super_Administrator及自定義的具備跨項目安全配置權限的角色。 | 需要由阿里云賬號授權 | |
全表掃描 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:Super_Administrator。 | 需要由阿里云賬號授權。 | |
數據保護 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:Super_Administrator。 | 需要由阿里云賬號授權。 | |
修改項目狀態 | MaxCompute控制臺(新版) | 支持 | 項目所有者 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取UpdateProjectStatus權限策略。 | |
添加、授權、管理項目成員 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:Super_Administrator及自定義的具備跨相應項目管理類權限的角色。 | 需要由阿里云賬號授權。 | |
Quota管理 | 修改一級或二級Quota | MaxCompute控制臺(新版) | 支持 | 不涉及 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取UpdateQuota權限策略。 |
創建二級自定義Quota | MaxCompute控制臺(新版) | 支持 | 不涉及 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取UpdateSubQuotas權限策略。 | |
創建、修改、刪除Quota計劃 | MaxCompute控制臺(新版) | 支持 | 不涉及 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取CreateQuotaPlan、UpdateQuotaPlan、DeleteQuotaPlan權限策略。 | |
創建、修改時間計劃 | MaxCompute控制臺(新版) | 支持 | 不涉及 | 支持 | 不涉及 | RAM賬號依賴:需要在RAM上獲取createQuotaSchedule、UpdateQuotaSchedule、權限策略。 | |
作業運維 | 查看作業、作業運維、作業監控 | MaxCompute管家 | 支持 | 項目所有者 | 支持 | MaxCompute角色:Super_Administrator。 | RAM用戶需要由阿里云賬號授予Super_Administrator角色。 |
代碼開發 | JAVA UDF |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備開發Java UDF權限的角色。 | 不涉及 |
Python UDF |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備開發Python UDF權限的角色。 | 不涉及 | |
數據管理 | 查看表列表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備查看表列表操作權限的角色。 | 不涉及 |
創建表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備創建表操作權限的角色。 | 不涉及 | |
更新表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備更新表操作權限的角色。 | 不涉及 | |
刪除表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備刪除表操作權限的角色。 | 不涉及 | |
單表授權(ACL) |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色。 | 不涉及 | |
預覽元數據 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備查看元數據操作權限的角色。 | 不涉及 | |
預覽跨Project表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備跨項目查看表操作權限的角色。 | 需要由阿里云賬號授予。 | |
資源(Resource)管理 | 查看資源列表 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備查看資源操作權限的角色。 | 不涉及 |
創建、刪除資源 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備創建、刪除資源操作權限的角色。 | 不涉及 | |
上傳資源 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備上傳資源操作權限的角色。 | 不涉及 | |
函數開發 | 查看函數列表、詳情 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備查看函數操作權限的角色。 | 不涉及 |
創建、刪除函數 |
| 支持 | 項目所有者 | 支持 | MaxCompute角色:MaxCompute內置的角色及自定義的具備創建、刪除函數操作權限的角色。 | 不涉及 |