Berikan Akses Super Admin RAM User di MaxCompute - MaxCompute

Hanya Akun Alibaba Cloud yang dapat memiliki proyek MaxCompute, tetapi pengelolaan proyek sehari-hari—seperti menyetel flag proyek dan mengonfigurasi berbagi sumber daya lintas proyek—tidak selalu dapat ditangani oleh pemilik akun. Dengan memberikan peran bawaan Super_Administrator kepada RAM user, pengguna tersebut dapat mengelola proyek atas nama pemilik tanpa harus membagikan kredensial Akun Alibaba Cloud.

Cara kerja

MaxCompute menyediakan dua peran manajemen bawaan:

Role	Permissions	Maximum holders
`Super_Administrator`	Semua izin untuk semua jenis resource dalam proyek, ditambah izin manajemen proyek	1 RAM user per proyek
`Admin`	Izin manajemen dasar	Beberapa pengguna

Pemilik proyek memberikan peran Super_Administrator kepada satu RAM user yang ditunjuk. RAM user tersebut kemudian dapat menjalankan sebagian besar tugas manajemen proyek sehari-hari. Untuk daftar lengkap izin, lihat Role planning.

RAM user dengan peran Super_Administrator telah memiliki izin kueri dan manajemen penuh untuk semua resource dalam proyek. Tidak diperlukan pemberian izin tambahan.

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

Akun Alibaba Cloud yang memiliki proyek MaxCompute
RAM user yang dibuat di bawah Akun Alibaba Cloud tersebut (hanya pemilik Akun Alibaba Cloud yang dapat membuat RAM user)
Izin manajemen DataWorks yang diberikan kepada RAM user — lihat Grant DataWorks management permissions to a RAM user

Berikan peran Super_Administrator

Pemilik Proyek harus memberikan izin. Pilih salah satu metode berikut.

Berikan izin menggunakan klien MaxCompute (odpscmd)

Klien MaxCompute (odpscmd) memungkinkan Anda memberikan peran super_administrator dan admin dalam satu sesi.

Dalam contoh berikut, bob@aliyun.com adalah Akun Alibaba Cloud (pemilik proyek) dan Allen adalah RAM user di bawah akun tersebut.

-- Beralih ke proyek target
USE project_a;
-- Tambahkan RAM user ke proyek
ADD USER ram$bob@aliyun.com:Allen;
-- Berikan peran super administrator
GRANT super_administrator TO ram$bob@aliyun.com:Allen;
-- Berikan peran Admin kepada RAM user Allen
GRANT admin TO ram$bob@aliyun.com:Allen;

Untuk memverifikasi, mintalah RAM user menjalankan perintah berikut. Jika output mencantumkan Super_Administrator, pemberian izin berhasil.

SHOW GRANTS;

Berikan izin menggunakan DataWorks

(Opsional) Tambahkan RAM user sebagai anggota proyek. Lewati langkah ini jika pengguna tersebut sudah menjadi anggota.
1. Masuk ke Konsol DataWorks dan pilih Wilayah di pojok kiri atas.
2. Di panel navigasi kiri, klik Workspace.
3. Di halaman Workspaces, klik nama workspace target.
4. Di halaman Workspace Details, klik Workspace Members and Roles di panel navigasi kiri.
5. Di tab Workspace Members, klik Add Members.
6. Di kotak dialog Add Members, pilih RAM user dari daftar Available Accounts. Pengguna yang dipilih akan muncul di daftar Selected Accounts.
7. Tetapkan peran dan klik Confirm.
Berikan peran Super_Administrator.
1. Di halaman Workspace Details, klik Workspace Members and Roles di panel navigasi kiri.
2. Di tab Workspace Members, temukan anggota target dan pilih Workspace Manager dari kolom Role.
Untuk memverifikasi, mintalah RAM user menjalankan perintah berikut. Jika output mencantumkan Super_Administrator, pemberian izin berhasil.
```
SHOW GRANTS;
```

Berikan izin menggunakan Konsol MaxCompute

Masuk ke Konsol MaxCompute dan pilih Wilayah di pojok kiri atas.
Di panel navigasi kiri, pilih Manage Configurations > Projects.
Di halaman Projects, temukan proyek target dan klik Manage di kolom Actions.
Di halaman Project Settings, klik tab Role Permissions.
Pilih peran super_administrator dan klik Manage Members di kolom Actions.
Di kotak dialog Manage Members, pilih RAM user dan klik OK.
Untuk memverifikasi, mintalah RAM user menjalankan perintah berikut. Jika output mencantumkan Super_Administrator, pemberian izin berhasil.
```
SHOW GRANTS;
```

Praktik terbaik

Manajemen anggota

Satu akun per developer. Tetapkan setiap RAM user untuk satu developer. Jangan berbagi akun. Jika seorang developer keluar, pemilik proyek dapat menonaktifkan RAM user tersebut tanpa memengaruhi orang lain.
Tambahkan hanya pengguna yang menjalankan job di proyek. Untuk pengguna yang hanya perlu membaca data dari proyek ini, gunakan packages untuk berbagi resource lintas proyek alih-alih menambahkannya sebagai anggota.
Batasi anggota proyek hanya pada RAM user di bawah akun pemilik proyek. Pemilik proyek mengontrol RAM user tersebut dan dapat menonaktifkan salah satunya secara cepat. Jika Anda mengelola anggota proyek melalui DataWorks, ini adalah satu-satunya opsi yang tersedia.
Hanya pemilik Akun Alibaba Cloud yang dapat membuat RAM user. Super administrator tidak dapat membuat RAM user secara langsung. Mereka harus meminta pemilik Akun Alibaba Cloud untuk membuat pengguna terlebih dahulu, lalu menambahkan pengguna tersebut ke proyek.
Ketika anggota keluar, hapus RAM user dari proyek terlebih dahulu, lalu minta pemilik Akun Alibaba Cloud untuk menonaktifkan akun RAM user tersebut. Jika anggota yang keluar memegang peran Super_Administrator, pemilik proyek harus menangani kedua langkah tersebut secara langsung.

Manajemen izin

Gunakan role, bukan pemberian izin individual. Lampirkan izin ke role, lalu tetapkan role tersebut ke pengguna. Hal ini mempermudah pengelolaan perubahan izin seiring pertumbuhan tim.
Ikuti prinsip hak istimewa minimal. Berikan hanya izin yang benar-benar dibutuhkan setiap pengguna untuk meminimalkan dampak jika akun dikompromikan atau disalahgunakan.
Berbagi data lintas proyek dengan packages. Penyedia resource cukup mengelola satu package alih-alih mengelola anggota individual di setiap proyek konsumen. Lihat Role planning untuk detailnya.

Audit izin

Untuk memeriksa izin pengguna saat ini, jalankan:

SHOW GRANTS;

Untuk audit yang lebih luas, kueri tampilan yang disediakan oleh layanan meta global MaxCompute. Untuk semua tampilan yang tersedia dan contoh kueri, lihat List of metadata views.

Manajemen biaya

Peran Super_Administrator tidak mencakup izin penagihan. Agar RAM user dapat mengkueri data penagihan, pemilik Akun Alibaba Cloud harus memberikan izin berikut secara terpisah di Pusat Pengguna:

Permission	Access level
`AliyunBSSFullAccess`	Izin manajemen penuh untuk Pusat Pengguna
`AliyunBSSReadOnlyAccess`	Akses hanya-baca ke Pusat Pengguna
`AliyunBSSOrderAccess`	Melihat, membayar, dan membatalkan pesanan

Untuk petunjuknya, lihat Grant permissions to a RAM role. Untuk detail penagihan, lihat View bill details.

Manajemen penggunaan resource

Resource komputasi berlangganan: Lihat dan kelola resource komputasi di Konsol MaxCompute. Lihat Resource observation dan Manage quotas for compute resources.
Resource komputasi pay-as-you-go: Kueri tampilan TASKS_HISTORY di layanan meta global untuk memeriksa detail job yang telah selesai, termasuk waktu eksekusi, konten job, dan konsumsi resource.
Tampilan layanan meta global hanya menyimpan data selama 15 hari terakhir. Untuk menyimpan data lebih lama, Anda harus membaca dan menyimpan datanya secara berkala.

Langkah selanjutnya

Pelajari semua role proyek yang tersedia beserta izinnya: Role planning
Kelola anggota workspace di DataWorks: Workspace management
Jelajahi semua tampilan metadata untuk auditing: List of metadata views