All Products
Search

This Product

    :Kontrol akses resource penyewa tingkat proyek

    Document Center

    :Kontrol akses resource penyewa tingkat proyek

    Last Updated:Mar 27, 2026

    Topik ini menjelaskan fitur project-level tenant resource access control, yang memungkinkan Anda mengonfigurasi izin akses tingkat proyek yang detail halus untuk resource tingkat penyewa di MaxCompute.

    Latar Belakang

    Objek resource MaxCompute mencakup tenant objects dan project-level objects.

    • Tenant objects: Meliputi sumber data eksternal, koneksi jaringan, custom image, dan kelompok kuota. Tenant administrator menggunakan kebijakan RAM untuk mengontrol izin atas resource ini.

    • Project-level objects: Objek yang termasuk dalam suatu proyek, seperti skema, tabel, role, instans, resource, fungsi, dan tampilan. Project administrator mengontrol izin atas objek ini dengan menggunakan model otorisasi dalam MaxCompute.

    Anda dapat menggunakan tenant object lintas proyek. Secara default, MaxCompute tidak memeriksa apakah suatu proyek memiliki otorisasi untuk menggunakan tenant object tersebut. Jika pemilik tenant object tidak menginginkan proyek tertentu menggunakannya, mereka dapat mengaktifkan project-level tenant resource access control untuk secara eksplisit mengaitkan resource tersebut ke proyek-proyek tertentu. Ini merupakan model kontrol akses opsional yang ditingkatkan.

    Penggunaan

    MaxCompute menyediakan dua model keamanan untuk mengontrol akses ke tenant object pada tingkat proyek.

    Penting

    • Saklar project-level tenant resource access control berlaku untuk semua tenant object. Saat Anda mengaktifkan saklar ini, pemeriksaan izin akan diberlakukan untuk semua resource penyewa.

    • Fitur ini saat ini sedang dalam masa pratinjau dan tidak dapat diaktifkan secara langsung. Jika Anda memerlukan fitur ini, ajukan tiket.

    Mode 1: Mengaktifkan kontrol akses sumber daya penyewa tingkat proyek

    1. Pembuat tenant resource dapat menentukan proyek mana saja yang boleh menggunakan resource tersebut dengan mengonfigurasi hubungan mount antara resource dan proyek-proyek tersebut.

    2. Kemudian, project administrator memberikan izin kepada pengguna dalam proyek untuk menggunakan resource tersebut melalui model otorisasi.

    Dengan mengaktifkan project-level tenant resource access control, Anda dapat mengontrol proyek mana yang diizinkan menggunakan tenant object tertentu. Saat ini, tidak tersedia saklar bagi tenant administrator untuk menerapkan fitur ini ke semua proyek.

    Mode 2: Tanpa project-level tenant resource access control

    Setiap pengguna yang memiliki izin untuk menjalankan task dalam suatu proyek dapat menggunakan tenant resource yang diperlukan untuk task tersebut.

    Meskipun pembuat tenant resource telah mengonfigurasi hubungan mount antara resource dan proyek, atau project administrator telah memberikan izin Usage kepada pengguna melalui kebijakan, pengaturan tersebut tidak berlaku jika project-level tenant resource access control dinonaktifkan. Namun, otorisasi kebijakan tingkat penyewa tetap berlaku terlepas dari pengaturan ini.

    Aktifkan project-level tenant resource access control

    Untuk mengaktifkan project-level tenant resource access control, lakukan langkah-langkah berikut:

    1. Pasang objek penyewa ke Proyek:

      1. Masuk ke Konsol MaxCompute, lalu pilih wilayah di pojok kiri atas.

      2. Di panel navigasi sebelah kiri, buka halaman konfigurasi untuk objek target: Manage Configurations > Quotas, Manage Configurations > Network Connection, Manage Configurations > External Data Source, atau Manage Configurations > Images.

      3. Pada kolom Actions objek target, klik Enhance Access Management, pilih proyek yang akan dimount, lalu selesaikan konfigurasi.

    2. Lihat tenant object yang telah dimount:

      1. Di panel navigasi sebelah kiri, pilih Manage Configurations > Projects. Pada halaman Projects, klik Manage di kolom Actions proyek target untuk membuka halaman pengaturan proyeknya.

      2. Pada halaman Project Settings, pilih tab Parameter Configuration. Di bagian Permission Properties, klik Edit. Lalu, klik View Tenant Resources Bound to Projects untuk melihat status mount antara proyek dan resource seperti koneksi jaringan, sumber data eksternal, custom image, dan kelompok kuota.

    3. Terapkan kebijakan ke tenant object yang dimount oleh proyek:

      1. Di panel navigasi sebelah kiri, pilih Manage Configurations > Projects. Pada halaman Projects, klik Manage di kolom Actions proyek target untuk membuka halaman pengaturan proyeknya.

      2. Pada halaman Project Settings, pilih tab Role Permissions. Temukan role tingkat proyek target, lalu klik Edit Role di kolom Actions.

      3. Pada kotak dialog Edit Role, atur Authorization Method menjadi Policy.

      4. Pada kotak skrip Policy-based Access Control, Anda dapat memodifikasi kebijakan role tersebut.

        Sebagai contoh, kebijakan berikut mengizinkan pengguna a dalam proyek project_a untuk menggunakan kuota sebesar 500 CU:

        {
    "Statement":[
        {
            "Action":[
                "odps:Usage"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:regions/*/quotas/500cu"
            ]
        }
    ],
    "Version":"1"
}

        Setelah Anda memberikan izin kepada pengguna a untuk menggunakan tenant resource dalam project_a, Anda dapat mengontrol akses tenant resource pada tingkat pengguna atau role ketika project-level tenant resource access control diaktifkan.

      5. Untuk informasi lebih lanjut tentang konfigurasi kebijakan, lihat Policy-based access control.

    Kueri tenant resource yang digunakan oleh proyek

    Anda dapat melakukan kueri terhadap tenant resource yang digunakan oleh suatu proyek dengan beberapa cara, tergantung pada skenarionya.

    Tenant resource

    Skenario

    Metode kueri

    Quota group

    Proyek menggunakan kuota default.

    Lihat kuota komputasi default di daftar proyek pada halaman Manage Configurations > Projects di Konsol MaxCompute.

    Kuota ditentukan pada tingkat job.

    Periksa kuota komputasi yang ditentukan dalam parameter waktu proses sebelum menjalankan pernyataan SQL.

    set odps.task.wlm.quota=<quotaname>;

    Aturan kuota menentukan proyek dan task.

    Network connection

    Menjalankan kueri pada tabel eksternal yang menggunakan network connection untuk mengakses sumber data di VPC.

    Jalankan perintah SHOW CREATE TABLE <external_table_name>; untuk melihat network connection yang ditentukan dalam DDL tabel eksternal:

    TBLPROPERTIES('networklink'='<networklink_name>')

    Network connection ditentukan sebelum menjalankan pernyataan SQL yang berisi UDF untuk akses VPC.

    Periksa network connection yang ditentukan dalam parameter waktu proses sebelum menjalankan pernyataan SQL:

    set odps.session.networklink=<networklink_name>;

    Sumber data eksternal mereferensikan network connection.

    Lihat network connection di daftar pada halaman Manage Configurations > External Data Source di Konsol MaxCompute.

    Job Spark on MaxCompute menggunakan network connection.

    External data source

    Menjalankan kueri pada tabel dari skema eksternal yang mereferensikan external data source.

    1. Jalankan perintah SHOW SCHEMAS; untuk melihat daftar skema dalam proyek.

    2. Jalankan perintah DESC SCHEMA <schema_name>; untuk melihat external data source yang direferensikan.

    Custom image

    UDF mereferensikan custom image.

    Dokumentasi terkait

    Untuk informasi lebih lanjut tentang tenant resource, lihat topik-topik berikut: