Pengguna Resource Access Management (RAM) untuk proyek MaxCompute tidak dapat mengakses Data Lake Formation (DLF) atau Object Storage Service (OSS) tanpa otorisasi. Anda dapat memberikan izin kustom kepada pengguna RAM tersebut dengan menambahkan kebijakan kepercayaan dan kebijakan akses. Topik ini menjelaskan cara memberikan izin kustom kepada pengguna RAM untuk proyek MaxCompute.
Informasi latar belakang
Dalam skenario danau data terpadu yang menggunakan MaxCompute, DLF, dan OSS, pengguna RAM untuk proyek MaxCompute tidak dapat mengakses DLF tanpa otorisasi.
Jika pengguna RAM untuk proyek MaxCompute berada dalam akun Alibaba Cloud yang sama dengan akun yang digunakan untuk menerapkan DLF, atur parameter service menjadi
odps.aliyuncs.comsaat menambahkan kebijakan kepercayaan.Jika pengguna RAM untuk proyek MaxCompute berada dalam akun Alibaba Cloud yang berbeda dari akun yang digunakan untuk menerapkan DLF, atur parameter service menjadi
<ID akun Alibaba Cloud pemilik proyek MaxCompute>@odps.aliyuncs.comsaat menambahkan kebijakan kepercayaan. Anda dapat menemukan Account ID di atau Pusat Akun.
Prosedur
Masuk ke Konsol Resource Access Management (RAM) dan buat peran RAM untuk akun Alibaba Cloud tepercaya.
Untuk informasi lebih lanjut, lihat Buat peran RAM untuk akun Alibaba Cloud tepercaya.
Di Konsol RAM, ubah kebijakan kepercayaan peran RAM baru.
Untuk informasi selengkapnya, lihat Ubah kebijakan kepercayaan peran RAM. Kebijakan kepercayaan adalah sebagai berikut:
Jika akun Alibaba Cloud yang membuat proyek MaxCompute sama dengan akun yang menerapkan DLF:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "odps.aliyuncs.com" ] } } ], "Version": "1" }Jika akun Alibaba Cloud yang membuat proyek MaxCompute berbeda dari akun yang menerapkan DLF:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<ID akun Alibaba Cloud pemilik proyek MaxCompute>@odps.aliyuncs.com" ] } } ], "Version": "1" }
Di Konsol RAM, buat kebijakan kustom untuk peran RAM baru.
Untuk informasi selengkapnya, lihat Buat kebijakan kustom. Kebijakan kustom adalah sebagai berikut:
{ "Version": "1", "Statement": [ { "Action": [ "oss:ListBuckets", "oss:GetObject", "oss:ListObjects", "oss:PutObject", "oss:DeleteObject", "oss:AbortMultipartUpload", "oss:ListParts" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "dlf:CreateFunction", "dlf:BatchGetPartitions", "dlf:ListDatabases", "dlf:CreateLock", "dlf:UpdateFunction", "dlf:BatchUpdateTables", "dlf:DeleteTableVersion", "dlf:UpdatePartitionColumnStatistics", "dlf:ListPartitions", "dlf:DeletePartitionColumnStatistics", "dlf:BatchUpdatePartitions", "dlf:GetPartition", "dlf:BatchDeleteTableVersions", "dlf:ListFunctions", "dlf:DeleteTable", "dlf:GetTableVersion", "dlf:AbortLock", "dlf:GetTable", "dlf:BatchDeleteTables", "dlf:RenameTable", "dlf:RefreshLock", "dlf:DeletePartition", "dlf:UnLock", "dlf:GetLock", "dlf:GetDatabase", "dlf:GetFunction", "dlf:BatchCreatePartitions", "dlf:ListPartitionNames", "dlf:RenamePartition", "dlf:CreateTable", "dlf:BatchCreateTables", "dlf:UpdateTableColumnStatistics", "dlf:ListTableNames", "dlf:UpdateDatabase", "dlf:GetTableColumnStatistics", "dlf:ListFunctionNames", "dlf:ListPartitionsByFilter", "dlf:GetPartitionColumnStatistics", "dlf:CreatePartition", "dlf:CreateDatabase", "dlf:DeleteTableColumnStatistics", "dlf:ListTableVersions", "dlf:BatchDeletePartitions", "dlf:ListCatalogs", "dlf:UpdateTable", "dlf:ListTables", "dlf:DeleteDatabase", "dlf:BatchGetTables", "dlf:DeleteFunction" ], "Resource": "*", "Effect": "Allow" } ] }Lampirkan kebijakan kustom ke peran RAM baru.
Untuk informasi lebih lanjut, lihat Berikan izin kepada peran RAM.