Di DataWorks, pengguna RAM dapat mengasumsikan role RAM untuk login dan menjalankan tugas pengembangan. Topik ini menjelaskan cara menggunakan SSO berbasis peran untuk login dan menggunakan DataWorks.
Informasi latar belakang
Anda dapat login ke DataWorks dengan salah satu cara berikut:
-
Login menggunakan Akun Alibaba Cloud
Anda dapat login ke Konsol Manajemen Alibaba Cloud menggunakan Akun Alibaba Cloud atau pengguna RAM, lalu mengakses DataWorks. Akun tersebut menjadi anggota ruang kerja dengan izin yang diperlukan.
-
Login menggunakan role
Seiring meningkatnya persyaratan keamanan dan kepatuhan perusahaan, beberapa organisasi lebih memilih menggunakan SSO berbasis peran untuk login dan menggunakan DataWorks. Dengan metode ini, role Resource Access Management (RAM) ditambahkan sebagai anggota ke ruang kerja DataWorks. Pengguna yang mengasumsikan role ini memiliki izin yang setara dengan anggota Akun Alibaba Cloud. Untuk informasi selengkapnya tentang role, lihat Ikhtisar role RAM dan Ikhtisar SSO berbasis peran dengan SAML.
Perhatian
-
Di DataWorks, hanya sumber data MaxCompute dan Hologres yang mendukung operasi menggunakan role RAM.
-
Untuk menjalankan operasi otorisasi berikut dengan pengguna RAM atau role, Anda harus menyambungkan kebijakan AliyunRAMFullAccess ke pengguna RAM atau role tersebut. Untuk informasi selengkapnya tentang cara memberikan izin, lihat Berikan izin kepada pengguna RAM.
Langkah 1: Buat role RAM
-
Login ke Konsol RAM.
-
Di panel navigasi sebelah kiri, pilih .
-
Buat role.
Pada halaman Role, klik Create Role.
-
Untuk mengasumsikan role dengan mengganti identitas di Konsol Manajemen Alibaba Cloud, pilih Alibaba Cloud Account sebagai tipe role. Untuk informasi selengkapnya, lihat Buat role RAM untuk akun Alibaba Cloud tepercaya.
-
Untuk mengasumsikan role dengan login ke Alibaba Cloud menggunakan akun dari penyedia identitas (IdP) Anda, pilih Identity Provider sebagai tipe role. Untuk informasi selengkapnya, lihat Buat role RAM untuk IdP tepercaya.
-
Langkah 2: Konfigurasikan kebijakan kepercayaan
Pada halaman , klik nama role tersebut. Pada tab Trust Policy, definisikan kebijakan kepercayaan untuk role RAM. Kebijakan tersebut harus mengizinkan role diasumsikan baik oleh pengguna yang dituju (pengguna RAM atau pengguna IdP) maupun layanan DataWorks. Pilih kebijakan di bawah ini yang sesuai dengan skenario Anda.
Pada kebijakan berikut, ganti UID dengan UID Akun Alibaba Cloud Anda dan ganti IDP dengan nama penyedia identitas (IdP) Anda.
Skenario 1: Pengguna RAM mengasumsikan role
Untuk mengizinkan pengguna RAM mengasumsikan role RAM guna mengakses DataWorks, ubah kebijakan kepercayaan role RAM sebagai berikut:
Kebijakan berikut mengizinkan dua principal—yaitu pengguna RAM tertentu dan layanan DataWorks—untuk memperoleh kredensial temporary guna mengasumsikan role tersebut. Untuk informasi selengkapnya tentang AssumeRole, lihat AssumeRole - Memperoleh kredensial keamanan temporary untuk role RAM.
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::UID:root"
]
}
},
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"dataworks.aliyuncs.com"
]
}
}
],
"Version": "1"
}Skenario 2: Pengguna IdP mengasumsikan role
Untuk mengizinkan pengguna dari IdP mengasumsikan role RAM guna mengakses DataWorks, ubah kebijakan kepercayaan role RAM sebagai berikut:
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"saml:recipient": "https://signin.aliyun.com/saml-role/sso"
}
},
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::UID:saml-provider/IDP"
]
}
},
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"dataworks.aliyuncs.com"
]
}
}
],
"Version": "1"
}Langkah 3: Sambungkan kebijakan AliyunSTSAssumeRoleAccess
Jika Anda menggunakan pengguna RAM—bukan pengguna dari IdP—untuk mengasumsikan role RAM, sambungkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM tersebut. Kebijakan ini mengizinkan pengguna memanggil operasi AssumeRole pada Security Token Service (STS) untuk memperoleh kredensial temporary role tersebut. Untuk informasi selengkapnya tentang cara menyambungkan kebijakan, lihat Berikan izin kepada pengguna RAM.
Jika Anda menggunakan pengguna dari IdP untuk mengasumsikan role RAM, lewati langkah ini.
Langkah 4: Login sebagai role RAM
Bagian ini menjelaskan cara pengguna RAM mengasumsikan role RAM untuk login dan menggunakan DataWorks. Untuk informasi selengkapnya tentang SSO berbasis peran, lihat Ikhtisar SSO berbasis peran dengan SAML.
-
Login ke Konsol DataWorks sebagai pengguna RAM.
-
Ganti identitas Anda.
Setelah masuk ke Konsol DataWorks, arahkan kursor ke foto profil Anda di pojok kanan atas, lalu klik Switch Identity untuk login menggunakan role RAM.
Langkah selanjutnya
Setelah Anda membuat ruang kerja, Anda dapat menjalankan operasi berikut:
-
Tambahkan role RAM ke ruang kerja DataWorks untuk pengembangan data
Administrator ruang kerja dapat menambahkan role RAM sebagai anggota ruang kerja. Untuk informasi selengkapnya, lihat Tambahkan anggota ruang kerja dan kelola peran serta izin mereka.
-
Gunakan role RAM sebagai identitas penjadwalan produksi di MaxCompute
Saat Anda menyambungkan mesin komputasi MaxCompute, konfigurasikan role RAM ini sebagai identitas penjadwalan produksi. Setelah mengonfigurasi role sebagai identitas penjadwalan, jangan gunakan role tersebut untuk tujuan lain. Anda juga harus memastikan bahwa semua tugas dijalankan menggunakan kelompok sumber daya penjadwalan eksklusif.