全部产品
Search

搜索本产品

    :Peran terkait layanan untuk DataWorks mengakses produk mesin lainnya

    文档中心

    :Peran terkait layanan untuk DataWorks mengakses produk mesin lainnya

    更新时间:Nov 10, 2025

    Untuk menggunakan mesin komputasi lain, seperti MaxCompute dan E-MapReduce (EMR), di DataWorks, Anda harus terlebih dahulu memberikan izin akses yang diperlukan kepada DataWorks. Setelah izin tersebut diberikan, sistem akan secara otomatis membuat peran terkait layanan untuk mesin komputasi tersebut. Topik ini menjelaskan peran dan kebijakan akses yang dibuat secara otomatis saat Anda mengizinkan DataWorks menggunakan mesin komputasi ini.

    Latar Belakang

    Saat Anda melakukan operasi terkait mesin komputasi di Konsol DataWorks, seperti menambahkan atau mengedit instans mesin komputasi, Anda akan diminta untuk memberikan izin. Setelah izin tersebut diberikan, sistem akan secara otomatis membuat peran terkait layanan.

    Catatan

    • Hanya Akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) yang memiliki peran AliyunDataWorksFullAccess yang dapat memberikan izin kepada DataWorks untuk menggunakan mesin komputasi lain. Jika Pengguna RAM tidak memiliki peran AliyunDataWorksFullAccess, Anda harus memberikan peran tersebut kepada Pengguna RAM. Untuk informasi selengkapnya, lihat Memberikan izin kepada Pengguna RAM.

    • Prompt otorisasi dipicu oleh operasi DataWorks seperti Manajemen Sumber Data.

    • Anda dapat mencari dan melihat detail peran tersebut di halaman Identity Management > Roles di Konsol Resource Access Management (RAM). Untuk informasi selengkapnya tentang peran terkait layanan, lihat Peran Terkait Layanan.

    Tabel berikut mencantumkan peran yang dibuat secara otomatis setelah Anda memberikan izin yang diperlukan dan menyediakan tautan ke detail masing-masing peran.

    Peran

    Tujuan

    Rincian

    AliyunServiceRoleForDataworksEngine

    Memberikan izin kepada DataWorks untuk mengakses MaxCompute.

    Peran 1: AliyunServiceRoleForDataworksEngine

    AliyunServiceRoleForDataworksOnEmr

    Mendapatkan metadata dari EMR (data lake baru) untuk melihat pratinjau catatan data di Peta Data.

    Peran 2: AliyunServiceRoleForDataworksOnEmr

    AliyunServiceRoleForDataWorks

    Mendapatkan dan memodifikasi konfigurasi jaringan VPC serta konfigurasi grup keamanan untuk membuat koneksi jaringan antara kelompok sumber daya eksklusif untuk DataWorks dan sumber data.

    Peran terkait layanan AliyunServiceRoleForDataWorks

    AliyunServiceRoleForDataWorksDI

    Mendapatkan daftar peran RAM. Hal ini memungkinkan Anda memilih peran saat mengonfigurasi peran untuk mengakses sumber data.

    AliyunServiceRoleForDataWorksDI

    AliyunDIDefaultRole

    Memungkinkan DataWorks mengakses sumber daya produk cloud lain di bawah Akun Alibaba Cloud saat ini ketika Anda mengonfigurasi sumber data, mengonfigurasi tugas, dan menyinkronkan data. Ini mencakup beberapa izin manajemen untuk sumber daya cloud seperti RDS, Redis, MongoDB, PolarDB-X, HybridDB for MySQL, AnalyticDB for PostgreSQL, PolarDB, DMS, dan DLF.

    AliyunDIDefaultRole

    AliyunServiceRoleForDataWorksOpenPlatform

    Mendapatkan dan memodifikasi event di EventBridge untuk mendukung fitur pesan produk dan event dari DataWorks Open Platform.

    Peran terkait layanan AliyunServiceRoleForDataWorksOpenPlatform

    AliyunServiceRoleForDataWorksAccessDLF

    Mendapatkan metadata dari Data Lake Formation (DLF) dan melakukan operasi seperti memberikan serta mencabut izin metadata. Hal ini memungkinkan Pusat Keamanan mengelola permintaan dan persetujuan untuk metadata DLF.

    Lampiran: Peran terkait layanan yang digunakan oleh DataWorks untuk mengakses DLF

    AliyunServiceRoleForDataWorksScheduler

    Mengelola sumber daya di EventBridge dan mengakses sumber daya produk cloud lain seperti OSS.

    Peran terkait layanan AliyunServiceRoleForDataWorksScheduler

    Bagian berikut menjelaskan peran yang terkait dengan mesin komputasi MaxCompute dan EMR (data lake baru).

    Peran 1: AliyunServiceRoleForDataworksEngine

    • Nama Peran: AliyunServiceRoleForDataworksEngine

    • Tujuan: Peran terkait layanan untuk DataWorks mengakses mesin komputasi (dataworks-engine). Layanan dataworks-engine menggunakan peran ini untuk mengakses sumber daya Anda di layanan cloud lain.

    • Kebijakan terlampir: AliyunServiceRolePolicyForDataworksEngine

    • Detail kebijakan:

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "odps:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "stream:ActOnBehalfOfAnotherUser",
        "stream:CreateDeployment",
        "stream:StartJobWithParams",
        "stream:ListDeployments",
        "stream:GetDeployment",
        "stream:GetJob",
        "stream:StopJob",
        "stream:DeleteDeployment"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "dlf-auth:ActOnBehalfOfAnotherUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "pai:*",
        "paiplugin:*",
        "eas:*",
        "featurestore:*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "emr-serverless-spark:StartSessionCluster",
        "emr-serverless-spark:CreateSqlStatement",
        "emr-serverless-spark:GetSqlStatement",
        "emr-serverless-spark:TerminateSqlStatement",
        "emr-serverless-spark:ListSessionClusters",
        "emr-serverless-spark:ListWorkspaces",
        "emr-serverless-spark:ListWorkspaceQueues",
        "emr-serverless-spark:ListReleaseVersions",
        "emr-serverless-spark:CancelJobRun",
        "emr-serverless-spark:ListJobRuns",
        "emr-serverless-spark:GetJobRun",
        "emr-serverless-spark:StartJobRun",
        "emr-serverless-spark:AddMembers",
        "emr-serverless-spark:GrantRoleToUsers",
        "emr-serverless-spark:ListLogContents",
        "emr-serverless-spark:GetTemplate",
        "emr-serverless-spark:ListKyuubiServices",
        "emr-serverless-spark:GetLivyCompute",
        "emr-serverless-spark:CreateLivyCompute",
        "emr-serverless-spark:UpdateLivyCompute",
        "emr-serverless-spark:ListLivyCompute",
        "emr-serverless-spark:DeleteLivyCompute",
        "emr-serverless-spark:StartLivyCompute",
        "emr-serverless-spark:StopLivyCompute",
        "emr-serverless-spark:CreateLivyComputeToken",
        "emr-serverless-spark:GetLivyComputeToken",
        "emr-serverless-spark:ListLivyComputeToken",
        "emr-serverless-spark:DeleteLivyComputeToken",
        "emr-serverless-spark:RefreshLivyComputeToken"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "adb:SubmitSparkApp",
        "adb:GetSparkAppState",
        "adb:GetSparkAppLog",
        "adb:GetSparkAppWebUiAddress",
        "adb:ListSparkApps",
        "adb:GetSparkAppInfo",
        "adb:KillSparkApp",
        "adb:DescribeAdbMySqlTables",
        "adb:getDatabaseObjectsByFilter",
        "adb:getTable"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "lindorm:GetLindormInstanceList",
        "lindorm:GetLindormInstance",
        "lindorm:GetLindormInstanceEngineList",
        "lindorm:GetLindormV2InstanceEngineList",
        "lindorm:ListLdpsComputeGroups",
        "lindorm:RestartLdpsComputeGroup"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "engine.dataworks.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "searchengine:GetInstance",
        "searchengine:ListInstances",
        "searchengine:GetTable",
        "searchengine:ListTables"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

    Peran 2: AliyunServiceRoleForDataworksOnEmr

    Penting

    Jangan memodifikasi atau menghapus peran yang dibuat secara otomatis beserta kebijakan aksesnya. Jika tidak, fitur DataWorks on EMR mungkin tidak berfungsi sebagaimana mestinya.

    • Nama Peran: AliyunServiceRoleForDataworksOnEmr

    • Tujuan: Memungkinkan DataWorks melihat pratinjau catatan data di Peta Data, mengambil metadata dari kluster EMR tipe DLF, dan mengambil informasi konfigurasi dari kluster EMR.

    • Kebijakan terlampir: AliyunServiceRolePolicyForDataworksOnEmr

    • Detail kebijakan:

      • Izin akses EMR

        {
    "Version": "1",
    "Statement": [
        {
          "Action": [
              "emr:GetCluster",
              "emr:GetOnKubeCluster",
              "emr:GetClusterClientMeta",
              "emr:GetApplicationConfigFile",
              "emr:ListClusters",
              "emr:ListNodes",
              "emr:ListNodeGroups",
              "emr:ListApplications",
              "emr:ListApplicationConfigs",
              "emr:ListApplicationConfigFiles",
              "emr:ListApplicationLinks",
              "emr:ListComponentInstances",
              "emr:DescribeClusterV2",
              "emr:DescribeCluster",
              "emr:DescribeClusterServiceConfig",
              "emr:DescribeFlowAgentToken",
              "emr:DescribeClusterBasicInfo",
              "emr:ListClusterHostComponent"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      • Izin akses Data Lake Formation (DLF)

        Jika kluster EMR menggunakan DLF untuk mengelola metadata secara terpusat, kebijakan akses peran yang dibuat secara otomatis juga mencakup izin akses DLF berikut. Izin ini memungkinkan DataWorks mengambil metadata dari EMR.

        {
  "Action": [
        "dlf:SubmitQuery",
        "dlf:GetQueryResult",
        "dlf:GetTable",
        "dlf:ListDatabases",
        "dlf:GetTableProfile",
        "dlf:GetCatalogSettings",
        "dlf:BatchGrantPermissions",
        "dlf:ListPartitionsByFilter",
        "dlf:ListPartitions",
        "dlf:GetHudiProperties",
        "dlf:ListCatalogs",
        "dlf:GetDatabase",
        "dlf:GetLifecycleRule",
        "dlf:GetCatalog",
        "dlf:GetIcebergNamespace",
        "dlf:GetIcebergTable"
  ],
  "Resource": "*",
  "Effect": "Allow"
}

      • Izin akses Container Service for Kubernetes (ACK)

        Jika kluster EMR merupakan kluster EMR on ACK, kebijakan akses peran yang dibuat secara otomatis juga mencakup izin akses ACK berikut.

        {
  "Action": [
      "cs:DescribeUserPermission",
      "cs:DescribeClusterDetail",
      "cs:DescribeClusterUserKubeconfig",
      "cs:GetClusters",
      "cs:GrantPermissions",
      "cs:RevokeK8sClusterKubeConfig"
  ],
  "Resource": "*",
  "Effect": "Allow"
}

      • Izin akses Serverless Spark

        Jika kluster EMR merupakan kluster EMR Serverless Spark, kebijakan akses peran yang dibuat secara otomatis juga mencakup izin akses Serverless Spark berikut.

        {
  "Effect": "Allow",
  "Action": [
        "emr-serverless-spark:StartSessionCluster",
        "emr-serverless-spark:CreateSqlStatement",
        "emr-serverless-spark:GetSqlStatement",
        "emr-serverless-spark:TerminateSqlStatement",
        "emr-serverless-spark:ListSessionClusters",
        "emr-serverless-spark:ListWorkspaces",
        "emr-serverless-spark:ListWorkspaceQueues",
        "emr-serverless-spark:ListReleaseVersions",
        "emr-serverless-spark:CancelJobRun",
        "emr-serverless-spark:ListJobRuns",
        "emr-serverless-spark:GetJobRun",
        "emr-serverless-spark:StartJobRun",
        "emr-serverless-spark:AddMembers",
        "emr-serverless-spark:GrantRoleToUsers",
        "emr-serverless-spark:ListLogContents",
        "emr-serverless-spark:GetTemplate",
        "emr-serverless-spark:ListKyuubiServices",
        "emr-serverless-spark:GetLivyCompute",
        "emr-serverless-spark:CreateLivyCompute",
        "emr-serverless-spark:UpdateLivyCompute",
        "emr-serverless-spark:ListLivyCompute",
        "emr-serverless-spark:DeleteLivyCompute",
        "emr-serverless-spark:StartLivyCompute",
        "emr-serverless-spark:StopLivyCompute",
        "emr-serverless-spark:CreateLivyComputeToken",
        "emr-serverless-spark:GetLivyComputeToken",
        "emr-serverless-spark:ListLivyComputeToken",
        "emr-serverless-spark:DeleteLivyComputeToken",
        "emr-serverless-spark:RefreshLivyComputeToken",
        "emr-serverless-spark:ListLogContents"
    ],
  "Resource": "*"
}

        Izin OSS berikut juga disertakan. Izin ini memungkinkan Anda mengunggah file SQL dan paket JAR atau menyimpan hasil kueri sementara.

        {
  "Action": [
   "oss:PutObject",
   "oss:GetObject",
   "oss:DeleteObject",
   "oss:DeleteObjectVersion"
    ],
  "Resource": [
    "acs:oss:*:*:*/.dataworks/*",
    "acs:oss:*:*:*/.dlsdata/*"
    ],
  "Effect": "Allow"
},
{
  "Action": "oss:PostDataLakeStorageFileOperation",
  "Resource": "*",
  "Effect": "Allow"
}