Akses data proyek lintas akun -

Anda dapat mengakses dan melakukan operasi pada proyek—seperti proyek MaxCompute atau Hologres—yang dimiliki oleh Akun Alibaba Cloud lain dengan menambahkannya sebagai sumber data di Akun Alibaba Cloud saat ini. Hal ini memungkinkan akses data lintas akun.

Batasan

Sumber data yang dibuat untuk akses lintas akun tidak dapat digunakan dalam pengembangan data atau penjadwalan. Untuk melakukan operasi pengembangan data, Anda harus membuat sumber data di akun Anda sendiri. Untuk informasi selengkapnya, lihat Tambahkan Mesin komputasi MaxCompute dan Tambahkan Mesin komputasi Hologres.
Saat membuat sumber data untuk akses lintas akun, Anda hanya dapat menggunakan peran Resource Access Management (RAM) untuk mengakses proyek yang bersangkutan.

Persiapan

Pastikan Anda memiliki dua Akun Alibaba Cloud, A dan B. Untuk informasi selengkapnya, lihat Buat akun.
- Akun Alibaba Cloud A: pengguna sumber data lintas akun. Akun ini membuat sumber data menggunakan informasi dari Akun Alibaba Cloud B.
- Akun Alibaba Cloud B: penyedia resource untuk sumber data lintas akun. Akun ini menyediakan informasi yang diperlukan kepada Akun Alibaba Cloud A.
Pastikan resource data yang akan dibagikan tersedia di Akun Alibaba Cloud B. Misalnya, proyek MaxCompute atau instans dan database Hologres harus telah dibuat.
- Skenario 1 (Mengakses MaxCompute): Proyek MaxCompute telah dibuat di Akun Alibaba Cloud B dan digunakan sebagai proyek tujuan saat membuat sumber data untuk akses lintas akun. Untuk informasi selengkapnya tentang cara membuat proyek MaxCompute, lihat Buat proyek MaxCompute.
- Skenario 2 (Mengakses Hologres): Instans Hologres telah dibeli dan database telah dibuat di Akun Alibaba Cloud B.

Langkah 1: Buat dan otorisasi peran RAM di Akun B

Buat peran RAM dan bangun hubungan kepercayaan

Login ke Konsol RAM menggunakan Akun Alibaba Cloud B. Buat peran RAM dan tambahkan Akun Alibaba Cloud A sebagai akun Alibaba Cloud tepercaya agar Akun Alibaba Cloud A dapat mengasumsikan peran tersebut dan mengakses resource yang diotorisasi.

Buat peran RAM.
Untuk informasi selengkapnya, lihat Buat peran RAM untuk akun Alibaba Cloud tepercaya.
Catatan
Akun Alibaba Cloud A mengasumsikan peran RAM ini untuk mengakses DataWorks di Akun Alibaba Cloud B. Jika peran RAM ini perlu mengakses DataWorks di Akun Alibaba Cloud A, Anda harus mendefinisikan ulang kebijakan untuk peran RAM tersebut. Untuk informasi selengkapnya, lihat Definisikan kebijakan untuk peran RAM.
Daftar berikut menjelaskan parameter utama:
- Trusted Entity Type: Akun Alibaba Cloud.
- Trusted Entity Name: Pilih Akun Alibaba Cloud Lain dan masukkan UID Akun Alibaba Cloud A. Untuk mendapatkan UID tersebut, login ke konsol menggunakan Akun Alibaba Cloud A dan arahkan kursor ke gambar profil Anda di bilah menu atas.
- Role Name: testRole.
Setelah konfigurasi selesai, Akun Alibaba Cloud A dapat mengasumsikan peran testRole untuk mengakses resource yang diotorisasi.
Ubah kebijakan kepercayaan peran tersebut.
Setelah peran dibuat, buka tab Trust Policy, lalu klik Edit Trust Policy dan perbarui kebijakan dengan konten berikut agar layanan DataWorks dari Akun Alibaba Cloud A dapat mengasumsikan peran ini. Untuk informasi selengkapnya, lihat Ubah kebijakan kepercayaan peran RAM.
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "UID of Alibaba Cloud Account A@engine.dataworks.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}
```
Ganti UID Akun A dengan UID Akun A.

Konfigurasikan kebijakan akses untuk peran RAM

Skenario 1: Berikan izin untuk mengakses MaxCompute

Menggunakan Akun Alibaba Cloud B, buka proyek MaxCompute tujuan.
Anda dapat menggunakan fitur analisis SQL di Konsol MaxCompute untuk dengan cepat menavigasi ke proyek MaxCompute.
Untuk informasi selengkapnya tentang tool koneksi lainnya, lihat Pilih tool koneksi.
Tambahkan peran RAM ke proyek MaxCompute.
1. Tambahkan peran testRole yang Anda buat di Langkah 1 ke proyek MaxCompute. Format pernyataan SQL adalah sebagai berikut.
```
-- Tambahkan peran RAM ke proyek MaxCompute.
add user `RAM$<account_name>:role/<RAM role name>`;
-- Lihat semua pengguna di ruang kerja.
list users;
-- Lihat izin yang diberikan kepada peran RAM.
show grants for `RAM$<account_name>:role/<RAM role name>`;
```
  Parameter dijelaskan sebagai berikut:
  - <account_name>: Ganti dengan nama Akun Alibaba Cloud B.
  - <RAM role name>: Ganti dengan testRole, yaitu nama peran yang Anda buat di Langkah 1.
2. Berikan izin kepada peran sesuai kebutuhan. Untuk informasi selengkapnya tentang operasi otorisasi, lihat Operasi otorisasi.
  Catatan
  Anda dapat memberikan izin kepada peran RAM terlebih dahulu berdasarkan cara sumber data lintas akun akan digunakan di Ruang Kerja A. Misalnya, jika Anda ingin melakukan kueri tabel dari sumber data di Ruang Kerja B melalui Ruang Kerja A, pastikan peran RAM yang dikonfigurasi untuk sumber data memiliki izin SELECT pada tabel tersebut.

Skenario 2: Berikan izin untuk mengakses Hologres

Ubah kebijakan akses peran (khusus Hologres)
1. Di Konsol RAM Akun Alibaba Cloud B, buat kebijakan kustom untuk memberikan izin dasar yang diperlukan untuk mengakses instans Hologres. Konten kebijakan adalah sebagai berikut:
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "hologram:GetInstance",
        "hologram:DescribeInstance",
        "hologram:ListDatabases",
        "hologram:ListWarehouses",
        "hologram:ListInstances"
      ],
      "Resource": "*"
    }
  ]
}
```
2. Lampirkan kebijakan ini ke peran testRole. Untuk informasi selengkapnya, lihat Berikan izin kepada peran RAM.
Tambahkan peran RAM ke database Hologres.
Tambahkan dan otorisasi peran di Hologres. Login ke Konsol manajemen Hologres menggunakan Akun Alibaba Cloud B dan buka antarmuka HoloWeb dari instans tujuan.
- Di halaman User Management pada Security Center, tambahkan peran RAM yang Anda buat sebagai pengguna database.
- Jika peran tersebut merupakan pengguna biasa, buka halaman DB Authorization di Security Center untuk memberikan izin operasi tingkat database kepada pengguna tersebut.
Untuk informasi selengkapnya, lihat Panduan Cepat otorisasi pengguna RAM.

Langkah 2: Gunakan informasi pengguna Akun B untuk membuat sumber data di Akun A

Buka halaman Sumber Data.
1. Login ke Konsol DataWorks. Di bilah navigasi atas, pilih wilayah yang diinginkan. Di panel navigasi kiri, pilih More > Management Center. Di halaman yang muncul, pilih ruang kerja yang diinginkan dari daftar drop-down dan klik Go to Management Center.
2. Di panel navigasi kiri halaman SettingCenter, klik Data Sources.
Klik Add data source dan pilih jenis sumber data, baik MaxCompute maupun Hologres.
Di halaman konfigurasi sumber data, konfigurasikan parameter utama berikut:
- Alibaba Cloud Account: Pilih Other Alibaba Cloud Account.
- Region: Pilih wilayah tempat proyek MaxCompute atau instans Hologres berada.
- UID Of Other Alibaba Cloud Account: Masukkan UID Akun Alibaba Cloud B.
- Other MaxCompute Project/Hologres Instance: Masukkan nama atau ID resource tujuan di Akun Alibaba Cloud B.
- Other RAM Role: Masukkan nama peran RAM yang Anda buat di Akun Alibaba Cloud B, misalnya testRole.
Konfigurasikan konektivitas kelompok sumber daya.
Pilih kelompok sumber daya sesuai kebutuhan dan uji konektivitas. Untuk informasi selengkapnya tentang konfigurasi konektivitas jaringan, lihat Hubungkan ke sumber data yang dimiliki oleh Akun Alibaba Cloud berbeda.
Klik Complete Creation untuk membuat sumber data lintas akun.

Langkah selanjutnya

Setelah membuat sumber data, Anda dapat melakukan operasi berikut:

Sinkronkan data dari sumber data ini menggunakan Data Integration. Untuk informasi selengkapnya, lihat Data Integration.
Lihat detail lebih lanjut tentang sumber data di Data Map. Untuk informasi selengkapnya, lihat Data Map.