全部产品
Search

搜索本产品

    DataWorks:(Tingkat Lanjut) Gunakan peran RAM untuk masuk ke Konsol DataWorks dan gunakan DataWorks

    文档中心

    DataWorks:(Tingkat Lanjut) Gunakan peran RAM untuk masuk ke Konsol DataWorks dan gunakan DataWorks

    更新时间:Jul 06, 2025

    Di DataWorks, Anda dapat menggunakan pengguna RAM untuk mengasumsikan peran RAM tertentu dan menggunakan peran tersebut untuk masuk ke DataWorks serta melakukan operasi pengembangan. Topik ini menjelaskan cara menggunakan single sign-on (SSO) berbasis peran untuk masuk ke Konsol DataWorks dan menggunakan DataWorks.

    Informasi latar belakang

    Anda dapat menggunakan salah satu dari metode berikut untuk masuk ke Konsol DataWorks:

    • Gunakan akun Alibaba Cloud atau pengguna RAM

      Anda dapat menggunakan akun Alibaba Cloud atau pengguna RAM beserta kata sandi untuk masuk ke Konsol DataWorks dan menggunakan DataWorks. Dalam hal ini, akun Alibaba Cloud atau pengguna RAM menjadi anggota ruang kerja DataWorks dan diberi izin untuk menggunakan fitur-fitur DataWorks.

    • Gunakan SSO berbasis peran

      Beberapa perusahaan lebih memilih menggunakan SSO berbasis peran untuk masuk ke Konsol DataWorks dan menggunakan DataWorks karena persyaratan regulasi keamanan perusahaan semakin ketat. Dalam hal ini, peran RAM menjadi anggota ruang kerja DataWorks. Pengguna yang mengasumsikan peran RAM memiliki izin yang sama dengan akun Alibaba Cloud atau pengguna RAM yang digunakan untuk masuk ke Konsol DataWorks. Untuk informasi lebih lanjut tentang peran, lihat Ikhtisar Peran RAM dan Ikhtisar.

    Perhatian

    • Anda hanya dapat menggunakan SSO berbasis peran untuk mengakses ruang kerja DataWorks yang terkait dengan mesin komputasi MaxCompute atau Hologres.

    • Untuk memberikan izin yang diperlukan kepada pengguna menggunakan pengguna RAM atau peran RAM, Anda harus melampirkan kebijakan AliyunRAMFullAccess ke pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Langkah 1: Buat peran RAM

    1. Masuk ke Konsol RAM.

      Masuk ke Konsol RAM menggunakan akun Alibaba Cloud dan kata sandi Anda.

    2. Di panel navigasi di sebelah kiri, pilih Identities > Roles.

    3. Buat peran RAM.

      Di halaman Roles, klik Create Role dan ikuti petunjuk di layar untuk membuat peran RAM.

      • Jika Anda ingin pengguna RAM mengasumsikan peran RAM dengan beralih identitas di Konsol Manajemen Alibaba Cloud, pilih Alibaba Cloud Account untuk Pilih Entitas Tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya.

      • Jika Anda ingin penyedia identitas lokal (IdP) mengasumsikan peran RAM, pilih IdP untuk Pilih Entitas Tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk IdP Tepercaya.

    Langkah 2: Definisikan kebijakan kepercayaan peran RAM

    Di halaman Roles, klik nama peran RAM. Di halaman yang muncul, klik tab Trust Policy dan definisikan kebijakan kepercayaan peran RAM. Dokumen kebijakan kepercayaan terdiri dari dua bagian. Bagian pertama mendefinisikan bahwa peran RAM dapat diasumsikan oleh pengguna RAM atau IdP lokal. Bagian kedua mendefinisikan bahwa peran RAM dapat diasumsikan oleh layanan DataWorks. Bagian berikutnya menjelaskan kebijakan kepercayaan peran RAM dalam skenario yang berbeda. Anda dapat memilih kebijakan kepercayaan berdasarkan kebutuhan bisnis Anda.

    image

    Catatan

    Anda harus mengganti UID dalam dokumen kebijakan berikut dengan UID akun Alibaba Cloud Anda dan IDP dengan nama IdP lokal yang Anda pilih.

    Skenario 1: Peran RAM diasumsikan oleh pengguna RAM

    Jika Anda ingin pengguna RAM mengasumsikan peran RAM dan menggunakan DataWorks, konfigurasikan dokumen kebijakan berikut untuk peran RAM:

    Catatan

    Dalam kebijakan berikut, pengguna RAM yang ditentukan dan layanan DataWorks diizinkan untuk mendapatkan Token Layanan Keamanan (STS) untuk mengasumsikan peran RAM. Untuk informasi tentang operasi AssumeRole, lihat AssumeRole.

    {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::UID:root"
                ]
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dataworks.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    Skenario 2: Peran RAM diasumsikan oleh IdP lokal

    Jika Anda ingin IdP lokal mengasumsikan peran RAM dan menggunakan DataWorks, konfigurasikan dokumen kebijakan berikut untuk peran RAM:

    {
   "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "saml:recipient": "https://signin.aliyun.com/saml-role/sso"
                }
            },
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::UID:saml-provider/IDP"
                ]
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dataworks.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    Langkah 3: Lampirkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM yang perlu mengasumsikan peran RAM

    Jika Anda ingin pengguna RAM mengasumsikan peran RAM, Anda harus melampirkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM. Dengan cara ini, pengguna RAM dapat memanggil operasi AssumeRole STS untuk mendapatkan token STS peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Catatan

    Jika Anda ingin IdP lokal mengasumsikan peran RAM, Anda tidak perlu melakukan langkah ini.

    Langkah 4: Masuk ke Konsol DataWorks menggunakan pengguna RAM yang mengasumsikan peran RAM

    Setelah menyelesaikan langkah ini, Anda dapat menggunakan DataWorks sebagai peran RAM. Untuk informasi tentang SSO berbasis peran, lihat Ikhtisar.

    1. Masuk ke Konsol DataWorks sebagai pengguna RAM.

    2. Ganti Identitas.

      Setelah masuk ke Konsol DataWorks, gerakkan penunjuk ke profil pengguna di sudut kanan atas dan pilih Switch Identity untuk beralih ke peran RAM.

    Informasi tambahan

    Setelah membuat ruang kerja, Anda dapat melakukan operasi berikut. Untuk informasi tentang cara membuat ruang kerja, lihat Buat Ruang Kerja.

    • Tambahkan peran RAM ke ruang kerja DataWorks sebagai anggota untuk pengembangan data.

      Administrator ruang kerja DataWorks dapat menambahkan peran RAM ke ruang kerja DataWorks sebagai anggota untuk pengembangan data. Untuk informasi lebih lanjut, lihat Tambahkan Pengguna RAM ke Ruang Kerja sebagai Anggota dan Tetapkan Peran kepada Anggota.

    • Tetapkan peran RAM sebagai identitas untuk menjadwalkan tugas MaxCompute di lingkungan produksi.

      Saat Anda menambahkan sumber data MaxCompute, Anda dapat menetapkan peran RAM sebagai identitas akses untuk menjadwalkan tugas MaxCompute di lingkungan produksi. Jika Anda menetapkan peran RAM sebagai identitas akses penjadwalan, kami sarankan agar Anda tidak menggunakan peran RAM di layanan lain dan pastikan semua tugas MaxCompute dijalankan menggunakan grup sumber daya eksklusif untuk penjadwalan.