同賬號投遞

如果您的日志服務(wù)和MaxCompute屬于同一個阿里云賬號，則您需要單擊云資源訪問授權(quán)，在該賬號下創(chuàng)建AliyunLogDefaultRole角色。創(chuàng)建后，還需添加AliyunLogDefaultRole角色為MaxCompute工作空間成員。

操作步驟

1. 修改RAM角色信任策略。

   1. 登錄RAM控制臺。

   2. 在左側(cè)導(dǎo)航欄中，選擇身份管理 > 角色。

   3. 在RAM角色列表中，單擊AliyunLogDefaultRole角色。

   4. 在信任策略頁簽下，單擊編輯信任策略。

   5. 將原有的信任策略替換為如下內(nèi)容，然后單擊保存信任策略。

      {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "log.aliyuncs.com",
                "dataworks.aliyuncs.com"
              ]
            }
          }
        ],
        "Version": "1"
      }

2. 添加RAM角色為工作空間成員。

   您可以通過可視化界面或命令行進(jìn)行RAM角色授權(quán)。

   通過可視化界面完成授權(quán)

   1. 登錄DataWorks控制臺。

   2. 在頁面左上角，選擇地域。

   3. 在左側(cè)導(dǎo)航欄中，單擊工作空間。

   4. 在工作空間列表頁面，單擊目標(biāo)工作空間對應(yīng)的管理。

   5. 在工作空間配置，單擊空間成員與角色。然后在空間成員頁簽下，單擊添加成員。

   6. 在添加成員對話框中，選中當(dāng)前登錄賬號和AliyunLogDefaultRole角色，根據(jù)頁面提示完成添加。

      此處需在批量設(shè)置角色中選中開發(fā)。更多信息，請參見授權(quán)給其他用戶。

   7. 授予AliyunLogDefaultRole角色操作MaxCompute表的權(quán)限。

      1. 登錄MaxCompute控制臺，在左上角選擇地域。

      2. 選擇工作區(qū) > 項目管理，在項目管理頁面，單擊目標(biāo)項目操作列的管理。

      3. 在MaxCompute項目管理頁面，單擊角色權(quán)限。

         如果出現(xiàn)如下報錯，您需要先在角色列表中單擊admin對應(yīng)的成員管理，然后在成員管理對話框中，選中當(dāng)前登錄賬號，根據(jù)頁面提示完成添加。

      4. 在角色列表中，單擊role_project_admin角色對應(yīng)的成員管理。

      5. 在成員管理對話框中，選中當(dāng)前登錄賬號和AliyunLogDefaultRole角色賬號，根據(jù)頁面提示完成添加。

      6. 在角色列表中，單擊role_project_admin角色對應(yīng)的編輯角色。

      7. 在編輯角色對話框的Table頁簽下，選擇目標(biāo)MaxCompute表，選中Describe、Alter和Update。

      重要

      上述授權(quán)只針對指定的MaxCompute表。如果您希望目標(biāo)角色可以操作當(dāng)前MaxCompute空間項目下所有的表，則您可以為當(dāng)前登錄賬號和AliyunLogDefaultRole角色賬號添加admin角色權(quán)限。即在角色列表中，單擊admin角色對應(yīng)的成員管理，然后在成員管理對話框中，選中當(dāng)前登錄賬號和AliyunLogDefaultRole角色賬號，根據(jù)頁面提示完成添加。

   通過命令行完成授權(quán)

   1. 登錄DataWorks控制臺。

   2. 在頁面左上角，選擇地域。

   3. 在左側(cè)導(dǎo)航欄中，單擊工作空間列表。

   4. 在工作空間列表頁面，將鼠標(biāo)懸停至目標(biāo)工作空間對應(yīng)的快速進(jìn)入，然后單擊數(shù)據(jù)開發(fā)。

   5. 新建業(yè)務(wù)流程。

      1. 在數(shù)據(jù)開發(fā)頁面，選擇新建 > 新建業(yè)務(wù)流程。

      2. 在新建業(yè)務(wù)流程對話框中，設(shè)置業(yè)務(wù)名稱，然后單擊新建。

   6. 新建節(jié)點(diǎn)。

      1. 在數(shù)據(jù)開發(fā)頁面，選擇新建 > 新建節(jié)點(diǎn) > MaxCompute > ODPS SQL。

      2. 在新建節(jié)點(diǎn)對話框中，設(shè)置節(jié)點(diǎn)名稱和路徑，然后單擊確認(rèn)。

         其中，路徑需設(shè)置為您在上一步中所創(chuàng)建的業(yè)務(wù)流程。

   7. 在已創(chuàng)建的節(jié)點(diǎn)編輯框中，執(zhí)行如下命令，完成授權(quán)。

      

      命令	說明
      USE project-name;	指定MaxCompute項目，需與您在創(chuàng)建MaxCompute投遞任務(wù)（新版）時設(shè)置的MaxCompute項目保持一致。更多信息，請參見創(chuàng)建MaxCompute投遞任務(wù)（新版）。
      ADD USER RAM$****.aliyunid.com:`role/aliyunlogdefaultrole`;	在MaxCompute項目中添加用戶。 ****.aliyunid.com為MaxCompute項目所屬的阿里云賬號。您可以通過list users;命令查看對應(yīng)的阿里云賬號。 aliyunlogdefaultrole為AliyunLogDefaultRole角色的名稱，必須為小寫格式。
      GRANT CreateInstance ON PROJECT project-name TO USER RAM$*****:`role/aliyunlogdefaultrole`;	授予用戶在項目空間名為project-name的CreateInstance（創(chuàng)建實例）權(quán)限。 project-name為MaxCompute項目名稱。
      GRANT DESCRIBE, ALTER, UPDATE ON TABLE table-name TO user RAM$****.aliyunid.com:`role/aliyunlogdefaultrole`;	授予用戶查看、修改、更新目標(biāo)MaxCompute表的權(quán)限。 table-name為MaxCompute表名。 說明 該授權(quán)只針對指定的MaxCompute表，如果您希望目標(biāo)用戶可以操作當(dāng)前MaxCompute項目下的所有表，請執(zhí)行GRANT admin to user RAM$****.aliyunid.com:`role/aliyunlogdefaultrole`;命令完成授權(quán)。
      SHOW GRANTS FOR `RAM$****.aliyunid.com:role/aliyunlogdefaultrole`;	確認(rèn)授權(quán)是否成功。

      如果返回如下類似信息表示授權(quán)成功。

      Authorization Type: ACL
      [user/RAM$****.aliyunid.com:role/aliyunlogdefaultrole]
      A       projects/default_project_****: CreateInstance
      A       projects/default_project_****/tables/****: Describe | Alter | Update

      在授權(quán)過程中，可能發(fā)生如下報錯。

      • 在操作過程中出現(xiàn)FAILED: mismatched input錯誤，表示當(dāng)前的RAM用戶沒有執(zhí)行ADD USER等語句的權(quán)限。更多信息，請參見出現(xiàn)FAILED: mismatched input錯誤時，如何解決。

      • 在操作過程中出現(xiàn)FAILED: ODPS-0130013:Authorization exception - Authorization Failed [4003], You have NO privilege to do the PROJECT SECURITY OPERATION for {acs:odps:*:projects/xxxxxx/authorization/users}. Context ID:1111-11111-1111-1111-11111.錯誤，表示當(dāng)前的操作用戶無MaxCompute賬戶操作或者授權(quán)權(quán)限。更多信息，請參見出現(xiàn)操作用戶無權(quán)限錯誤時，如何解決。

跨賬號投遞

日志服務(wù)和MaxCompute屬于不同的阿里云賬號，例如日志服務(wù)屬于賬號A，MaxCompute屬于賬號B。則您需在兩個賬號下分別完成云資源訪問授權(quán)，分別創(chuàng)建AliyunLogDefaultRole角色。創(chuàng)建后，還需進(jìn)行如下配置。

1. 修改賬號B下的AliyunLogDefaultRole角色的信任策略。

   1. 使用賬號B登錄RAM 控制臺。

   2. 在左側(cè)導(dǎo)航欄中，選擇身份管理 > 角色。

   3. 在RAM角色列表中，單擊AliyunLogDefaultRole。

   4. 在信任策略頁簽中，單擊編輯信任策略。

   5. 將原有的信任策略替換為如下內(nèi)容，然后單擊保存信任策略。

      在Service配置項中添加阿里云賬號A的ID@log.aliyuncs.com和dataworks.aliyuncs.com。其中賬號A對應(yīng)的阿里云賬號ID，需根據(jù)實際情況替換，您可以在賬號中心查看阿里云賬號ID。

      該策略表示賬號A有權(quán)限通過日志服務(wù)獲取臨時Token來操作賬號B中的資源。

      {
        "Statement": [
         {
           "Action": "sts:AssumeRole",
           "Effect": "Allow",
           "Principal": {
             "Service": [
               "賬號A對應(yīng)的阿里云賬號ID@log.aliyuncs.com",
               "dataworks.aliyuncs.com",
               "log.aliyuncs.com"
             ]
           }
         }
        ],
        "Version": "1"
      }

2. 添加賬號B下的AliyunLogDefaultRole角色為工作空間成員。

   您可以通過可視化界面或命令行進(jìn)行RAM角色授權(quán)，即使用賬號B登錄DataWorks控制臺，完成授權(quán)操作。具體操作，通過可視化界面完成授權(quán)或通過命令行完成授權(quán)。