全部产品
Search

搜索本产品

    E-MapReduce:Memberikan izin kepada Pengguna RAM

    文档中心

    E-MapReduce:Memberikan izin kepada Pengguna RAM

    更新时间:Nov 10, 2025

    Untuk mengizinkan Pengguna Resource Access Management (RAM) menggunakan fitur-fitur Konsol EMR Serverless StarRocks, masuklah ke Konsol RAM menggunakan Akun Alibaba Cloud Anda dan berikan izin yang diperlukan kepada Pengguna RAM tersebut.

    Informasi latar belakang

    Resource Access Management (RAM) adalah layanan Alibaba Cloud untuk kontrol akses sumber daya. Untuk informasi selengkapnya, lihat Apa itu RAM?. Skenario umum penggunaan RAM dalam EMR Serverless StarRocks meliputi hal-hal berikut:

    • Pengguna: Jika beberapa orang di organisasi Anda, seperti staf O&M, pengembang, atau analis data, perlu menggunakan instans EMR Serverless StarRocks Anda, Anda dapat membuat kebijakan untuk memberikan akses kepada mereka. Hal ini mencegah Anda harus membagikan satu AccessKey kepada banyak orang.

    • Kelompok pengguna: Anda dapat membuat beberapa kelompok pengguna dan menyambungkan kebijakan akses yang berbeda kepada masing-masing kelompok untuk mengelola izin pengguna secara Batch. Prosedur pemberian izin kepada kelompok pengguna sama dengan prosedur untuk Pengguna RAM individual.

    Kebijakan dan peran akses

    • Kebijakan dan peran sistem

      • Kebijakan berikut digunakan oleh EMR Serverless StarRocks.

        Nama Kebijakan

        Deskripsi

        AliyunEMRStarRocksFullAccess

        Memberikan izin administrator untuk EMR Serverless StarRocks, termasuk semua operasi dan fitur.

        AliyunEMRStarRocksReadOnlyAccess

        Memberikan izin read-only untuk EMR Serverless StarRocks. Ini mencakup izin untuk melihat daftar instans dan mengkueri detail instans, tetapi tidak mencakup izin untuk membuat, memperbarui, atau memodifikasi instans.

        AliyunBSSOrderAccess

        Memberikan izin untuk melihat, membayar, dan membatalkan pesanan di Pusat Pengguna. Izin ini diperlukan untuk melakukan peningkatan dan penurunan konfigurasi instans serta perpanjangan instans di konsol manajemen.

        AliyunSLBFullAccess

        Memberikan izin untuk mengelola Server Load Balancer (SLB). Izin ini diperlukan untuk mengonfigurasi daftar putih publik atau internal untuk StarRocks karena melibatkan pengoperasian dan pengelolaan SLB.

      • Peran berikut digunakan oleh EMR Serverless StarRocks.

        Nama Peran

        Deskripsi

        AliyunEMRStarRocksAccessingOSSRole

        EMR Serverless StarRocks menggunakan peran ini untuk mengakses data Anda di OSS.

    • Kebijakan kustom

      Jika Anda terbiasa dengan API layanan Alibaba Cloud dan memerlukan kebijakan kontrol akses granular, Anda dapat membuat kebijakan kustom. Untuk informasi selengkapnya, lihat Struktur dan sintaks kebijakan. Saat membuat kebijakan tersebut, Anda harus merancang skrip kebijakan dengan cermat.

    Prosedur

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identity Management > Users.

    3. Pada halaman Users, temukan Pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.

      image

      Anda juga dapat memilih beberapa Pengguna RAM dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada Pengguna RAM tersebut sekaligus.

    4. Pada panel Add Permissions, pilih cakupan otorisasi, entitas yang diotorisasi, dan izin yang diperlukan.

      Parameter

      Deskripsi

      Resource Scope

      • Account: Izin berlaku dalam Akun Alibaba Cloud saat ini.

      • Resource Group: Izin berlaku dalam kelompok sumber daya yang ditentukan.

      Principal

      Pengguna RAM yang akan diberikan izin.

      Access Policy

      Di System Policies, masukkan StarRocks untuk mencari kebijakan akses yang terkait dengan EMR Serverless StarRocks. Kemudian, klik kebijakan yang ingin Anda berikan kepada Pengguna RAM dan pilih izin tersebut. Untuk deskripsi rinci setiap kebijakan akses, lihat Kebijakan dan peran.

    5. Klik OK.

      Setelah izin diberikan, izin tersebut langsung berlaku. Anda kemudian dapat menggunakan Pengguna RAM yang telah diotorisasi untuk masuk ke Konsol EMR Serverless dan melakukan operasi terkait.

    FAQ

    Mengapa Pengguna RAM tidak dapat melihat daftar instans dan menerima prompt otorisasi?

    • Deskripsi masalah: Setelah Pengguna RAM masuk, mereka tidak dapat melihat daftar instans dan sistem menampilkan prompt otorisasi. Fitur ini tidak tersedia meskipun Pengguna RAM telah disambungkan dengan peran AliyunServiceRoleForEMRStarRocks dan kebijakan akses belum diubah.

    • Penyebab:

      • Pembatasan tingkat kelompok sumber daya.

        Kebijakan AliyunEMRStarRocksReadOnlyAccess yang saat ini disambungkan ke Pengguna RAM diberikan pada Resource Group Level. Namun, logika autentikasi baru mensyaratkan kebijakan tersebut diberikan pada Account Level.

      • Izin yang tidak mencukupi untuk peran terkait layanan.

        Meskipun Pengguna RAM telah disambungkan dengan peran AliyunServiceRoleForEMRStarRocks, cakupan izin peran ini tidak mencakup autentikasi tingkat akun yang diperlukan untuk operasi API ram:GetRole.

    • Solusi:

      • Ubah kebijakan yang ada ke tingkat akun.

      • Tambahkan kebijakan kustom tingkat akun.

        Jika Anda tidak dapat mengubah kebijakan yang ada, Anda dapat menyambungkan kebijakan kustom tambahan tingkat akun ke Pengguna RAM. Konten kebijakan tersebut adalah sebagai berikut.

        {
  "Action": ["ram:GetRole"],
  "Resource": "acs:ram:*:*:role/AliyunServiceRoleForEMRStarRocks",
  "Effect": "Allow"
}