全部产品
Search

搜索本产品

    MaxCompute:Tetapkan RAM user sebagai super administrator untuk proyek MaxCompute

    文档中心

    MaxCompute:Tetapkan RAM user sebagai super administrator untuk proyek MaxCompute

    更新时间:Dec 06, 2025

    Topik ini menjelaskan cara menetapkan pengguna Resource Access Management (RAM) sebagai super administrator dalam proyek MaxCompute serta memberikan saran untuk mengelola anggota dan izin.

    Latar Belakang

    Dalam operasional sehari-hari, akun Alibaba Cloud biasanya dikelola oleh personel yang ditunjuk untuk memastikan keamanan data. Sebagian besar pengguna mengakses MaxCompute melalui akun RAM user. Namun, hanya akun Alibaba Cloud yang dapat menjadi pemilik proyek. Banyak operasi pengelolaan izin di MaxCompute—seperti menyetel flag tingkat proyek dan mengonfigurasi berbagi sumber daya lintas proyek dengan packages—hanya dapat dilakukan oleh pemilik proyek. Oleh karena itu, diperlukan RAM user dengan izin super administrator.

    MaxCompute menyediakan peran manajemen bawaan bernama Super_Administrator. Peran ini mencakup semua izin untuk seluruh jenis resource dalam suatu proyek, termasuk izin manajemen proyek. Untuk informasi selengkapnya tentang izin tersebut, lihat Perencanaan peran.

    Pemilik proyek dapat memberikan peran Super_Administrator kepada RAM user. Setelah menerima peran ini, RAM user tersebut dapat melakukan berbagai operasi manajemen pada proyek atas nama pemilik proyek, termasuk menyetel flag tingkat proyek dan mengelola semua izin resource.

    Prosedur

    1. Berikan izin kepada RAM user untuk membuat proyek. Untuk informasi selengkapnya, lihat Berikan izin manajemen DataWorks kepada RAM user.

    2. Pilih RAM user dan gunakan akun tersebut untuk membuat proyek. Pemilik proyek tetap merupakan akun Alibaba Cloud.

    3. Berikan izin

      Berikan izin menggunakan Klien MaxCompute (odpscmd)

      Asumsikan bahwa akun Alibaba Cloud bob@aliyun.com adalah pemilik proyek project_a dan Allen adalah RAM user di bawah bob@aliyun.com.

      1. Gunakan akun Alibaba Cloud untuk menjalankan perintah berikut guna memberikan izin.

        --Beralih ke proyek project_a.
USE project_a;
--Tambahkan RAM user Allen ke proyek project_a.
ADD USER ram$bob@aliyun.com:Allen;
--Berikan peran Super_Administrator kepada RAM user Allen.
GRANT super_administrator TO ram$bob@aliyun.com:Allen;
--Berikan peran Admin kepada RAM user Allen.
GRANT admin TO ram$bob@aliyun.com:Allen;

      2. Gunakan RAM user yang telah diberi otorisasi untuk menjalankan perintah berikut guna melihat izinnya sendiri. Jika nilai kembali berisi peran Super_Administrator, izin telah berhasil diberikan.

        SHOW GRANTS;

      Berikan izin menggunakan DataWorks

      1. (Opsional) Tambahkan RAM user sebagai anggota proyek. Jika RAM user tersebut sudah menjadi anggota proyek, lewati langkah ini.

        1. Masuk ke Konsol DataWorks dan pilih wilayah di pojok kiri atas.

        2. Di panel navigasi kiri, klik Workspace.

        3. Pada halaman Workspaces, klik nama workspace target.

        4. Pada halaman Workspace Details, klik Workspace Members and Roles di panel navigasi kiri.

        5. Pada tab Workspace Members, klik Add Members.

        6. Pada kotak dialog Add Members, pilih anggota organisasi yang ingin ditambahkan dari daftar Available Accounts. Anggota yang dipilih akan ditampilkan di daftar Selected Accounts.

        7. Pilih peran yang akan diberikan kepada akun tersebut dan klik Confirm untuk menambahkan anggota.

      2. Berikan peran Super_Administrator kepada RAM user.

        1. Pada halaman Workspace Details, klik Workspace Members and Roles di panel navigasi kiri.

        2. Pada tab Workspace Members, pilih Workspace Manager dari kolom Role untuk anggota target guna menyelesaikan otorisasi.

        3. Gunakan RAM user yang telah diberi otorisasi untuk menjalankan perintah berikut guna melihat izinnya sendiri. Jika nilai kembali berisi peran Super_Administrator, izin telah berhasil diberikan.

          SHOW GRANTS;

      Berikan izin menggunakan Konsol MaxCompute

      1. Masuk ke Konsol MaxCompute dan pilih wilayah di pojok kiri atas.

      2. Di panel navigasi kiri, pilih Manage Configurations > Projects.

      3. Pada halaman Projects, temukan proyek target dan klik Manage di kolom Actions-nya.

      4. Pada halaman Project Settings, klik tab Role Permissions.

      5. Pilih peran super_administrator dan klik Manage Members di kolom Actions yang sesuai.

      6. Pada kotak dialog Manage Members, pilih RAM user yang ingin ditambahkan dan klik OK untuk menyelesaikan otorisasi.

      7. Gunakan RAM user yang telah diberi otorisasi untuk menjalankan perintah berikut guna melihat izinnya sendiri. Jika nilai kembali berisi peran Super_Administrator, izin telah berhasil diberikan.

        SHOW GRANTS;

    Catatan Penggunaan

    • Pengelolaan anggota

      • Tentukan tanggung jawab untuk setiap RAM user. Setiap akun RAM user harus ditugaskan kepada satu developer saja. Jangan berbagi akun. Praktik ini membantu memastikan keamanan data.

      • Dalam suatu proyek, Anda hanya dapat menetapkan peran Super_Administrator kepada satu RAM user. Anda dapat memberikan peran Admin kepada akun lain yang memerlukan izin manajemen dasar.

      • MaxCompute mendukung akun Alibaba Cloud dan RAM user. Untuk lebih memastikan keamanan data, tambahkan hanya RAM user yang termasuk dalam akun Alibaba Cloud pemilik proyek sebagai anggota proyek.

        Akun Alibaba Cloud pemilik proyek memiliki kendali atas RAM user-nya. Jika seorang developer dipindahkan atau meninggalkan perusahaan, pemilik proyek dapat menonaktifkan atau memperbarui akun RAM user yang bersangkutan untuk menjaga keamanan data.

        Catatan

        Jika Anda menggunakan DataWorks untuk mengelola anggota proyek, Anda hanya dapat menambahkan RAM user yang termasuk dalam akun Alibaba Cloud pemilik proyek sebagai anggota proyek.

      • Hanya pemilik akun Alibaba Cloud yang dapat membuat RAM user. Bahkan super administrator harus meminta pemilik akun Alibaba Cloud untuk terlebih dahulu membuat RAM user. Setelah itu, super administrator dapat menambahkan RAM user yang baru dibuat ke proyek.

      • Tambahkan hanya pengguna yang perlu melakukan pengembangan data dalam proyek saat ini sebagai anggota proyek. Pengembangan data melibatkan menjalankan pekerjaan (jobs) dalam proyek. Untuk pengguna yang hanya perlu berinteraksi dengan data, gunakan packages untuk berbagi sumber daya lintas proyek. Praktik ini menghindari penambahan terlalu banyak pengguna ke proyek, yang mempersulit pengelolaan anggota.

      • Jika seorang karyawan dipindahkan atau meninggalkan perusahaan, pertama-tama hapus RAM user karyawan tersebut dari proyek. Kemudian, beri tahu pemilik proyek untuk menonaktifkan akun RAM user tersebut. Jika karyawan yang ditugaskan sebagai pemegang peran Super_Administrator dipindahkan atau meninggalkan perusahaan, pemilik proyek harus menghapus pengguna tersebut dari proyek dan menonaktifkan akun RAM user-nya.

    • Pengelolaan izin

      • Kelola izin menggunakan peran. Asosiasikan izin dengan peran, lalu asosiasikan peran dengan pengguna.

      • Ikuti prinsip hak istimewa minimal. Praktik ini mencegah risiko keamanan yang disebabkan oleh izin berlebihan.

      • Untuk berbagi data lintas proyek, gunakan packages. Dengan cara ini, penyedia resource hanya perlu mengelola packages, bukan anggota individual.

      Catatan

      RAM user dengan peran Super_Administrator sudah memiliki izin untuk mengkueri dan mengelola semua resource dalam proyek. Anda tidak perlu memberikan izin tambahan kepada pengguna ini.

    • Audit izin

      Anda dapat melakukan audit izin menggunakan tampilan (views) yang disediakan oleh layanan meta global MaxCompute. Untuk informasi selengkapnya, lihat Daftar tampilan metadata.

    • Manajemen biaya

      Untuk informasi selengkapnya tentang manajemen biaya, lihat Lihat detail tagihan. Untuk mengizinkan RAM user mengkueri data penagihan, pemilik akun Alibaba Cloud harus memberikan izin yang diperlukan kepada RAM user tersebut di Pusat Pengguna. Untuk informasi selengkapnya tentang cara memberikan izin, lihat Berikan izin kepada Peran RAM. Izin yang diperlukan mencakup hal berikut:

      • AliyunBSSFullAccess: Izin untuk mengelola Pusat Pengguna.

      • AliyunBSSReadOnlyAccess: Izin read-only untuk mengakses Pusat Pengguna.

      • AliyunBSSOrderAccess: Izin untuk melihat, membayar, dan membatalkan pesanan di Pusat Pengguna.

      Catatan

      Izin Pusat Pengguna tidak terkait dengan peran Super_Administrator proyek MaxCompute. Anda harus memberikan izin ini secara terpisah.

    • Pengelolaan penggunaan sumber daya

      • Jika Anda menggunakan sumber daya komputasi berlangganan untuk MaxCompute, Anda dapat melihat penggunaan sumber daya komputasi dan mengelola semua sumber daya komputasi di Konsol MaxCompute. Untuk informasi selengkapnya, lihat Pengamatan sumber daya dan Kelola kuota untuk sumber daya komputasi.

      • Jika Anda menggunakan sumber daya komputasi bayar sesuai penggunaan untuk MaxCompute, Anda dapat melihat penggunaan sumber daya komputasi menggunakan tampilan yang disediakan oleh layanan meta global MaxCompute. Misalnya, Anda dapat menggunakan tampilan TASKS_HISTORY untuk memeriksa detail pekerjaan yang telah selesai. Detail tersebut mencakup waktu eksekusi, konten pekerjaan, dan konsumsi sumber daya. Untuk informasi selengkapnya, lihat TASKS_HISTORY.

        Catatan

        Data dalam tampilan layanan meta global hanya disimpan selama 15 hari terakhir. Untuk menyimpan data dalam periode yang lebih lama, Anda harus membaca dan menyimpan data tersebut secara berkala.