DataWorks Data Integration mendukung otorisasi berbasis peran RAM. Topik ini menjelaskan cara memperoleh peran RAM yang terkait dengan Data Integration, menghapus peran terkait layanan Data Integration, serta mengizinkan pengguna RAM untuk membuat peran terkait layanan Data Integration.
Skenario
Saat menambahkan sumber data, seperti sumber data Object Storage Service (OSS), Anda dapat menentukan agar Data Integration mengasumsikan peran RAM kustom untuk terhubung ke sumber data tersebut.
Anda perlu mengaktifkan Data Integration untuk mengasumsikan peran terkait layanan AliyunServiceRoleForDataWorksDI guna memperoleh peran RAM kustom.
Selain itu, Anda juga perlu mengaktifkan Data Integration untuk mengasumsikan peran terkait layanan AliyunDIDefaultRole agar Data Integration dapat memanggil operasi API dari sumber data.
Deskripsi peran AliyunServiceRoleForDataWorksDI
- Nama Peran: AliyunServiceRoleForDataWorksDI
- Nama Kebijakan: AliyunServiceRolePolicyForDataWorksDI
- Deskripsi Izin: Kebijakan ini memberikan izin kepada Data Integration untuk memperoleh peran RAM kustom.
- Deskripsi Peran: Data Integration dapat mengasumsikan peran ini untuk memperoleh peran RAM kustom.
{
"Version": "1",
"Statement": [
{
"Action": [
"ram:ListRoles",
"ram:GetRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Deskripsi peran AliyunDIDefaultRole
- Nama Peran: AliyunDIDefaultRole
- Nama Kebijakan: AliyunDIRolePolicy
- Deskripsi Izin: Kebijakan ini memberikan izin kepada Data Integration untuk mengakses sumber daya layanan lainnya yang diaktifkan oleh akun saat ini. Layanan-layanan tersebut meliputi ApsaraDB RDS, ApsaraDB for Redis, ApsaraDB for MongoDB, PolarDB-X, HybridDB for MySQL, AnalyticDB for PostgreSQL, PolarDB, Data Management (DMS), dan Data Lake Formation (DLF).
- Deskripsi Peran: Data Integration dapat mengasumsikan peran ini untuk mengakses sumber daya terkait selama konfigurasi sumber data, konfigurasi node, dan sinkronisasi data.
{
"Version": "1",
"Statement": [
{
"Action": [
"rds:DescribeDBInstanceAttribute",
"rds:DescribeDBInstanceNetInfo",
"rds:DescribeDBInstances",
"rds:DescribeRegions",
"rds:DescribeDatabases",
"rds:DescribeSecurityGroupConfiguration",
"rds:DescribeDBInstanceIPArrayList",
"rds:ModifySecurityGroupConfiguration",
"rds:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kvstore:DescribeInstances",
"kvstore:DescribeInstanceAttribute",
"kvstore:DescribeRegions",
"kvstore:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dds:DescribeDBInstanceAttribute",
"dds:DescribeSecurityIps",
"dds:DescribeRegions",
"dds:DescribeDBInstances",
"dds:DescribeReplicaSetRole",
"dds:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"drds:DescribeDrdsInstanceList",
"drds:DescribeDrdsInstance",
"drds:DescribeDrdsDbList",
"drds:DescribeDrdsDb",
"drds:DescribeLogicTableList",
"drds:DescribeRegions",
"drds:ModifyDrdsIpWhiteList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"petadata:DescribeInstanceInfo",
"petadata:DescribeInstances",
"petadata:DescribeDatabases",
"petadata:DescribeTables",
"petadata:DescribeTableInfo",
"petadata:DescribeInstancePerformance",
"petadata:DescribeDatabasePerformance",
"petadata:DescribeInstanceResourceUsage",
"petadata:DescribeDatabaseResourceUsage",
"petadata:DescribeRegions",
"petadata:DescribeSecurityIPs",
"petadata:ModifySecurityIPs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"gpdb:DescribeDBInstanceAttribute",
"gpdb:DescribeDBInstances",
"gpdb:DescribeResourceUsage",
"gpdb:DescribeDBInstanceIPArrayList",
"gpdb:DescribeDBClusterIPArrayList",
"gpdb:DescribeDBInstancePerformance",
"gpdb:DescribeDBInstanceNetInfo",
"gpdb:DescribeRegions",
"gpdb:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"polardb:DescribeClusterInfo",
"polardb:DescribeDBClusterParameters",
"polardb:DescribeDBClusterEndpoints",
"polardb:ModifyDBClusterAccessWhitelist",
"polardb:DescribeDBClusterAccessWhitelist",
"polardb:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dms:ListUsers",
"dms:ListDatabases",
"dms:ListLogicTables",
"dms:GetLogicDatabase",
"dms:SearchDatabase",
"dms:GetMetaTableDetailInfo",
"dms:SearchTable",
"dms:ExecuteScript",
"dms:ListTables",
"dms:GetDatabase",
"dms:ListInstances",
"dms:GetTableDBTopology"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dlf:GetServiceStatus",
"dlf:ListDatabases",
"dlf:CreateDatabase",
"dlf:CreateTable",
"dlf:BatchCreateTables",
"dlf:CreatePartition",
"dlf:ListTableNames",
"dlf:GetTable",
"dlf:UpdateDatabase",
"dlf:UpdateTable",
"dlf:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Hapus peran terkait layanan
- Anda dapat menghapus peran AliyunServiceRoleForDataWorksDI kapan saja. Jika peran ini dihapus, Data Integration tidak akan dapat memperoleh peran RAM kustom, dan Anda tidak dapat memilih peran RAM saat menambahkan sumber data. Untuk informasi lebih lanjut, lihat Hapus Peran Terkait Layanan.
- Anda dapat menghapus peran AliyunDIDefaultRole kapan saja. Jika peran ini dihapus, Data Integration mungkin tidak dapat meminta informasi tentang layanan terkait selama konfigurasi sumber data, konfigurasi node, atau sinkronisasi data. Akibatnya, kesalahan uji konektivitas, kesalahan konfigurasi node, atau kesalahan sinkronisasi data mungkin terjadi.
Izin yang diperlukan untuk pengguna RAM agar dapat membuat peran terkait layanan
- Untuk mengizinkan pengguna RAM membuat peran AliyunServiceRoleForDataWorksDI, Anda harus melampirkan kebijakan DataWorksFullAccess atau kebijakan berikut pada pengguna RAM:
{ "Version": "1", "Statement": [ { "Action": "dataworks:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "di.dataworks.aliyuncs.com" } } } ] } - Untuk mengizinkan pengguna RAM membuat peran AliyunDIDefaultRole, Anda harus melampirkan kebijakan berikut pada pengguna RAM:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateRole", "ram:AttachPolicyToRole" ], "Resource": "*" } ] }