全部产品
Search

搜索本产品

    DataWorks:Gunakan mode otorisasi berbasis peran RAM untuk menambahkan sumber data

    文档中心

    DataWorks:Gunakan mode otorisasi berbasis peran RAM untuk menambahkan sumber data

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara menggunakan mode otorisasi berbasis peran RAM untuk menambahkan sumber data guna meningkatkan keamanan data di cloud. Dalam topik ini, sumber data Object Storage Service (OSS) digunakan sebagai contoh.

    Prasyarat

    Jika Anda ingin masuk ke konsol DataWorks dan melakukan operasi yang dijelaskan dalam topik ini sebagai pengguna RAM, pastikan bahwa kebijakan AliyunDataWorksFullAccess dan AliyunRAMFullAccess telah dilampirkan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Catatan

    Jika Anda ingin menggunakan akun Alibaba Cloud untuk masuk ke konsol DataWorks dan melakukan operasi, abaikan prasyarat ini.

    Gambar berikut menunjukkan cara melampirkan kebijakan ke pengguna RAM.

    image

    Informasi latar belakang

    Data disinkronkan berdasarkan sumber data. Oleh karena itu, sumber data sangat penting untuk memastikan keamanan data perusahaan di cloud. DataWorks memungkinkan Anda menggunakan mode otorisasi berbasis RAM role-based authorization mode yang lebih aman untuk menambahkan dan mengakses sumber data seperti OSS, AnalyticDB for MySQL 2.0, LogHub, Tablestore, dan Hologres. Ini meningkatkan keamanan data di cloud serta mencegah penggunaan sumber data yang tidak sesuai dan kebocoran pasangan AccessKey.

    Anda dapat menggunakan mode otorisasi berbasis pasangan AccessKey atau mode otorisasi berbasis peran RAM untuk menambahkan sumber data. Dalam topik ini, mode otorisasi berbasis peran RAM digunakan. Anda dapat memilih mode berdasarkan kebutuhan bisnis Anda. Deskripsi berikut memberikan prinsip kerja dari mode otorisasi berbasis pasangan AccessKey dan mode otorisasi berbasis peran RAM:

    • AccessKey pair-based authorization mode

      Mode otorisasi berbasis pasangan AccessKey kurang aman dibandingkan dengan mode otorisasi berbasis peran RAM. Dalam mode ini, Anda hanya perlu menentukan pasangan AccessKey dari akun Alibaba Cloud atau pengguna RAM saat menambahkan sumber data.

      Gambar berikut menunjukkan parameter yang diperlukan untuk menambahkan sumber data OSS dalam mode otorisasi berbasis pasangan AccessKey. Dalam kotak dialog Add OSS Data Source, Anda harus menetapkan parameter AccessKey ID dan AccessKey Secret ke pasangan AccessKey dari akun yang memiliki izin untuk mengakses bucket OSS.Konfigurasi Data Sumber

      Saat tugas sinkronisasi untuk sumber data OSS dijalankan atau dijadwalkan, DataWorks menggunakan pasangan AccessKey untuk mengakses sumber data dan membaca data dari atau menulis data ke sumber data tersebut.

      Catatan

      Dalam AccessKey pair-based authorization mode, data OSS mungkin bocor jika pasangan AccessKey Anda bocor.

    • RAM role-based authorization mode

      RAM role-based authorization mode lebih aman daripada mode otorisasi berbasis pasangan AccessKey. Dalam mode ini, pasangan AccessKey tidak diperlukan, sehingga mencegah kebocoran pasangan AccessKey.

      Dalam RAM role-based authorization mode, Anda dapat mengotorisasi akun layanan DataWorks untuk mengasumsikan peran RAM guna mengakses OSS tanpa menggunakan pasangan AccessKey.

      Selain itu, Anda dapat membuat peran yang berbeda untuk sumber data yang berbeda berdasarkan kebutuhan bisnis Anda. Hal ini memungkinkan Anda mengelola izin secara mendetail.

    Proses

    Bagian ini menjelaskan proses keseluruhan menggunakan mode otorisasi berbasis peran RAM untuk menambahkan sumber data dengan akun Alibaba Cloud atau sebagai pengguna RAM.

    1. Gunakan akun Alibaba Cloud Anda atau pengguna RAM yang dilampirkan kebijakan AliyunRAMFullAccess untuk masuk ke konsol RAM. Kemudian, buat peran yang akan diasumsikan dan kebijakan yang akan dilampirkan.

      • Peran yang akan diasumsikan: peran kustom yang akan diasumsikan oleh akun layanan DataWorks. Setelah akun layanan DataWorks mengasumsikan peran tersebut, Anda dapat menggunakan akun layanan DataWorks untuk mengakses OSS berdasarkan izin yang diberikan kepada peran tersebut.

      • Kebijakan yang akan dilampirkan: kebijakan yang berisi izin PassRole. Setelah pengguna RAM dilampirkan kebijakan tersebut, pengguna RAM dapat mengasumsikan peran kustom untuk menambahkan sumber data atau menjalankan tugas sinkronisasi untuk sumber data tersebut.

    2. Gunakan akun Alibaba Cloud Anda atau pengguna RAM yang dilampirkan kebijakan AliyunRAMFullAccess untuk masuk ke konsol RAM. Kemudian, berikan izin kepada pengguna RAM yang ingin Anda gunakan di Langkah 3 dan 5.

      Catatan

      Dalam RAM role-based authorization mode, jika Anda menggunakan pengguna RAM yang tidak berizin untuk menambahkan sumber data, semua tugas sinkronisasi untuk sumber data gagal dijalankan.

    3. Masuk ke konsol DataWorks menggunakan akun Alibaba Cloud atau sebagai pengguna RAM, dan buka halaman Integrasi Data untuk menambahkan sumber data dalam RAM role-based authorization mode. Saat tugas sinkronisasi untuk sumber data dijalankan, Anda dapat mengasumsikan peran RAM yang dibuat untuk mengakses sumber data.

      Catatan

      Pengguna RAM dapat digunakan untuk melakukan operasi pada langkah ini hanya setelah pengguna RAM diberi izin yang diperlukan di Langkah 2.

    4. Pergi ke halaman DataStudio menggunakan akun Alibaba Cloud atau sebagai pengguna RAM dan buat tugas sinkronisasi data untuk sumber data yang Anda tambahkan.

    5. Di halaman DataStudio atau Pusat Operasi, jalankan tugas sinkronisasi data.

      Catatan

      Pengguna RAM dapat digunakan untuk melakukan operasi pada langkah ini hanya setelah pengguna RAM diberi izin yang diperlukan di Langkah 2.

    Prosedur

    1. Buat peran yang akan diasumsikan dan kebijakan yang akan dilampirkan, lalu lampirkan kebijakan ke peran tersebut.

      Anda dapat membuat peran kustom yang berbeda untuk sumber data yang berbeda berdasarkan persyaratan keamanan Anda. Skenario berikut digunakan sebagai contoh tentang cara membuat peran yang akan diasumsikan:

      Catatan

      Hanya akun Alibaba Cloud atau pengguna RAM yang dilampirkan kebijakan AliyunRAMFullAccess yang dapat digunakan untuk melakukan operasi pada langkah ini.

      Sebuah perusahaan menggunakan 100 bucket OSS untuk menyimpan semua data, dan tim big data memerlukan data yang disimpan di bucket OSS tertentu. Jika peran preset AliyunDataWorksAccessingOSSRole digunakan, data di 99 bucket OSS lainnya mungkin diakses oleh tim big data. Ini dapat menyebabkan kebocoran data di bucket tersebut.

      Dalam kasus ini, pemilik akun Alibaba Cloud dapat membuat peran kustom bernama BigDataOSSRole untuk tim big data dan hanya mengizinkan anggota tim big data untuk menggunakan peran tersebut. Ini membantu mengisolasi izin di seluruh tim.

      1. Buat peran kustom.

        Dalam contoh ini, peran kustom yang entitas tepercayanya adalah Alibaba Cloud account dan namanya BigDataOssRole dibuat. Untuk informasi lebih lanjut tentang cara membuat peran kustom, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya.

      2. Buat kebijakan kustom.

        Dalam contoh ini, kebijakan yang mengizinkan pengguna untuk membaca data dari dan menulis data ke bucket tertentu dibuat. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat Buat Kebijakan Kustom. Kode berikut menunjukkan dokumen kebijakan:

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:GetObject",
                "oss:ListObjects",
                "oss:GetObjectMetadata",
                "oss:GetObjectMeta",
                "oss:GetBucketAcl",
                "oss:GetBucketInfo",
                "oss:PutObject",
                "oss:DeleteObject",
                "oss:PutBucket"
            ],
            "Resource": [
                "acs:oss:*:*:bucket_name_1",
                "acs:oss:*:*:bucket_name_1/*"
            ]
        }
    ]
}

      3. Lampirkan kebijakan ke peran BigDataOSSRole.

        Ubah kebijakan kepercayaan dari peran BigDataOSSRole. Lampirkan kebijakan yang dibuat ke peran BigDataOSSRole. Dengan cara ini, pengguna yang ditugaskan peran BigDataOSSRole dapat membaca data dari dan menulis data ke dua bucket yang ditentukan.

        Penting

        Untuk menggunakan peran tersebut, Anda harus melakukan operasi pada langkah ini.

        Untuk informasi lebih lanjut tentang cara mengubah kebijakan kepercayaan peran, lihat Edit Kebijakan Kepercayaan Peran RAM. Kode berikut menunjukkan dokumen kebijakan:

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "di.dataworks.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. Izinkan pengguna tertentu untuk mengasumsikan peran tersebut.

      Setelah Anda menentukan peran yang akan diasumsikan, Anda harus melampirkan kebijakan yang berisi izin PassRole kepada pengguna tertentu. Dengan cara ini, pengguna dapat mengasumsikan peran untuk menambahkan sumber data dan menjalankan tugas sinkronisasi untuk sumber data tersebut. Anda juga dapat menetapkan pemetaan antara pengguna dan peran berdasarkan kebutuhan bisnis Anda.

      • Template Kebijakan 1: Anda dapat membuat kebijakan berdasarkan template berikut. Kebijakan tersebut mengizinkan pengguna yang berwenang untuk mengasumsikan semua peran yang terkait dengan DataWorks Data Integration. Buat kebijakan menggunakan template hanya jika diperlukan untuk bisnis Anda.

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "di.dataworks.aliyuncs.com"
                }
            }
        }
    ]
}

      • Template Kebijakan 2: Anda juga dapat membuat kebijakan kustom yang berisi izin PassRole. Kemudian, Anda dapat menetapkan pemetaan antara pengguna dan peran berdasarkan kebutuhan bisnis Anda.

        Catatan

        Hanya akun Alibaba Cloud atau pengguna RAM yang dilampirkan kebijakan AliyunRAMFullAccess yang dapat digunakan untuk melakukan operasi pada langkah ini.

        Dalam contoh ini, setelah Anda membuat peran BigDataOSSRole untuk tim big data, Anda harus menggunakan kebijakan berikut untuk mengizinkan pengguna tertentu mengasumsikan peran tersebut berdasarkan kebutuhan bisnis Anda. Anda dapat membuat kebijakan kustom bernama BigDataOSSRoleAllowUse dan melampirkan kebijakan tersebut kepada pengguna tertentu. Dengan cara ini, pengguna dapat mengasumsikan peran BigDataOSSRole.

        Buat kebijakan bernama BigDataOssRoleAllowUse. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom. Kode berikut menunjukkan dokumen kebijakan:

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::19122324****:role/BigDataOssRole",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": [
                        "oss.aliyuncs.com",
                        "di.dataworks.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}
        Catatan

        Ganti UID 19122324**** dalam kode sebelumnya dengan UID akun Alibaba Cloud Anda.

        Setelah Anda membuat kebijakan BigDataOssRoleAllowUse, Anda dapat melampirkan kebijakan tersebut kepada pengguna RAM yang ingin mengasumsikan peran BigDataOssRole. Dengan cara ini, pengguna RAM dapat mengasumsikan peran BigDataOssRole sebagai identitas akses untuk menambahkan sumber data dan menjalankan tugas sinkronisasi untuk sumber data tersebut.

    3. Tambahkan sumber data.

      Setelah Anda diberi izin yang diperlukan oleh pemilik akun Alibaba Cloud, Anda dapat menambahkan sumber data.

      1. Gunakan akun Alibaba Cloud Anda atau pengguna RAM yang dilampirkan kebijakan DataWorksFullAccess untuk menambahkan sumber data OSS.

        Dalam kotak dialog Tambah Sumber Data OSS, pilih RAM Role Authorization Mode untuk Access Mode dan konfigurasikan parameter lainnya berdasarkan kebutuhan bisnis Anda. Tabel berikut menjelaskan parameter-parameter tersebut. Jika Anda menggunakan ruang kerja dalam mode standar, Anda dapat menentukan apakah akan menambahkan sumber data dalam lingkungan pengembangan atau produksi.

        Catatan

        Dalam contoh ini, sumber data OSS ditambahkan. Parameter yang perlu Anda konfigurasikan bervariasi berdasarkan jenis sumber data. Untuk informasi lebih lanjut tentang cara menambahkan sumber data OSS, lihat Tambahkan Sumber Data OSS.

        image

        Parameter

        Deskripsi

        Data Source Name

        Nama sumber data. Nama tersebut hanya dapat berisi huruf, angka, dan garis bawah (_), dan harus dimulai dengan huruf.

        Data Source Description

        Deskripsi sumber data. Deskripsi tersebut tidak boleh melebihi 80 karakter.

        Region

        Pilih wilayah dari daftar drop-down.

        Catatan

        Endpoint

        Titik akhir OSS. Format titik akhir: http://oss.aliyuncs.com. Titik akhir OSS bervariasi berdasarkan wilayah.

        Catatan

        Jika Anda menambahkan nama bucket sebelum titik akhir OSS dan titik (.) setelah nama bucket, sumber data dapat melewati tes konektivitas, tetapi sinkronisasi data akan gagal. Misalnya, Anda tidak dapat menetapkan parameter ini ke http://xxx.oss.aliyuncs.com.

        Bucket

        Nama bucket OSS. Bucket adalah wadah yang digunakan untuk menyimpan objek di OSS.

        Anda dapat membuat satu atau lebih bucket dan menambahkan satu atau lebih objek ke setiap bucket.

        Selama sinkronisasi data, DataWorks hanya dapat mencari objek dalam bucket yang ditentukan oleh parameter ini.

        Access Mode

        Mode yang digunakan untuk mengakses sumber data. Dalam contoh ini, RAM Role Authorization Mode digunakan. Kemudian, akun layanan DataWorks dapat mengasumsikan peran terkait untuk mengakses sumber data menggunakan token STS. Ini memastikan keamanan yang lebih tinggi.

        Role

        Peran yang akan diasumsikan. Pilih peran RAM dari daftar drop-down.

      2. Tes konektivitas jaringan.

        Dalam bagian Connection Configuration, klik tab Integrasi Data. Kemudian, temukan grup sumber daya yang diperlukan dan klik Test Network Connectivity di kolom yang diinginkan.

        Tugas sinkronisasi hanya dapat menggunakan satu jenis grup sumber daya. Untuk memastikan bahwa tugas sinkronisasi Anda dapat dijalankan sesuai harapan, Anda harus menguji konektivitas antara grup sumber daya untuk Integrasi Data tempat tugas sinkronisasi Anda dijalankan dan sumber data. Jika Anda ingin menguji konektivitas beberapa grup sumber daya untuk Integrasi Data sekaligus, pilih grup sumber daya dan klik Batch Test Network Connectivity. Untuk informasi lebih lanjut, lihat Solusi Konektivitas Jaringan.

      3. Jika tes konektivitas berhasil, klik Complete Creation.

    4. Buat tugas sinkronisasi data.

      Setelah Anda menambahkan sumber data, Anda dapat pergi ke halaman DataStudio dan membuat tugas sinkronisasi data untuk sumber data tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan Tugas Sinkronisasi Batch Menggunakan UI Tanpa Kode.

    5. Jalankan tugas sinkronisasi data.

      Di halaman DataStudio atau Pusat Operasi, jalankan tugas sinkronisasi data yang telah dibuat.

      Catatan

      Pastikan bahwa Anda diberi izin yang diperlukan di Langkah 2 sebelum Anda menjalankan tugas di halaman DataStudio. Jika tidak, tugas-tugas tersebut gagal dijalankan.