All Products
Search

This Product

    MaxCompute:Kelola izin pengguna di konsol

    Document Center

    MaxCompute:Kelola izin pengguna di konsol

    Last Updated:Jun 21, 2026

    MaxCompute memungkinkan Anda memberikan izin kepada akun RAM, seperti RAM user dan RAM role, menggunakan role di konsol MaxCompute. Topik ini menjelaskan cara memberikan berbagai jenis izin serta menyediakan contoh kebijakan.

    Berikan izin manajemen tingkat proyek

    Izin manajemen tingkat proyek MaxCompute mencakup kemampuan untuk mengonfigurasi keamanan proyek, mengelola pengguna dan izin role tingkat proyek, mengelola package, menggunakan label-based access control, serta membersihkan izin yang telah kedaluwarsa. Untuk informasi selengkapnya, lihat Daftar izin manajemen proyek.

    Prosedur

    1. Login ke MaxCompute console dan pilih Wilayah di pojok kiri atas.

    2. Pada panel navigasi sebelah kiri, pilih Manage Configurations > Projects.

    3. Pada halaman Projects, klik Manage di kolom Actions untuk proyek target.

    4. Pada halaman Project Settings, klik tab Role Permissions.

      Pada tab Role Permissions, Anda dapat membuat role Admin atau memodifikasi izin role Admin yang sudah ada.

      Catatan

      Secara default, hanya Akun Alibaba Cloud yang memiliki izin untuk mengelola role dalam suatu proyek. Untuk memberikan izin menggunakan akun RAM, seperti RAM user atau RAM role, akun tersebut harus memiliki izin manajemen proyek yang diperlukan.

      • Buat peran Admin

        1. Klik Create Project-level Role untuk membuat role proyek dengan izin MaxCompute yang diperlukan.

        2. Pada kotak dialog Create Role, konfigurasikan parameter sesuai petunjuk lalu klik OK.

          Atur Role Type menjadi Admin, lalu masukkan policy otorisasi.

      • Modifikasi izin role Admin yang sudah ada.

        Pada tab Role Permissions, temukan role target lalu klik Modify Authorization di kolom Actions. Setelah memodifikasi policy, klik Confirm untuk menyimpan perubahan.

      Untuk informasi lebih lanjut mengenai nilai Action dan Resource, lihat Daftar izin manajemen proyek. Topik ini menyediakan contoh kebijakan berdasarkan modul manajemen.

    5. Temukan role tingkat proyek target lalu klik Manage Members di kolom Actions. Pada kotak dialog Manage Members, Anda dapat melihat anggota yang ditetapkan ke role tersebut, menetapkan role kepada pengguna, atau menghapus pengguna dari role tersebut, yang akan mencabut izinnya.

    Contoh kebijakan

    Catatan

    • Izin manajemen untuk suatu modul biasanya melibatkan beberapa aksi dan izin resource. Oleh karena itu, contoh-contoh berikut menggunakan wildcard (*) untuk memberikan izin pada beberapa objek sekaligus.

    • Untuk informasi lebih lanjut mengenai nilai Action dan Resource, lihat Daftar izin manajemen proyek.

    • Ganti project_name dalam contoh dengan nama proyek MaxCompute Anda.

    Manajemen role

    Kebijakan berikut memberikan izin untuk mengelola role.

    {
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/roles",
        "acs:odps:*:projects/project_name/authorization/roles/*/*"
      ]
    }
  ],
  "Version": "1"
}

    Manajemen package

    Kebijakan berikut memberikan izin untuk mengelola package.

    {
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/packages",
        "acs:odps:*:projects/project_name/authorization/packages/*",
        "acs:odps:*:projects/project_name/authorization/packages/*/*/*"
      ]
    }
  ],
  "Version": "1"
}
    Catatan

    Untuk mengelola package di konsol, Anda memerlukan izin list pada proyek. Oleh karena itu, Anda harus terlebih dahulu memberikan izin list pada proyek saat ini kepada pengguna. Untuk informasi cara memberikan izin di konsol, lihat Berikan izin operasi tingkat proyek pada objek. Untuk informasi cara memberikan izin menggunakan perintah, lihat Kelola izin pengguna menggunakan perintah.

    Keamanan proyek

    Kebijakan berikut memberikan izin untuk memodifikasi konfigurasi keamanan proyek.

    {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/configurations/*"
      ]
    }
  ],
  "Version":"1"
}

    Manajemen pengguna

    Kebijakan berikut memberikan izin untuk mengelola pengguna proyek.

    {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/users"
      ]
    }
  ],
  "Version":"1"
}

    Semua izin manajemen

    Kebijakan berikut memberikan semua izin manajemen.

    {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/*"
      ]
    }
  ],
  "Version":"1"
}

    Berikan izin operasi tingkat proyek pada objek

    Izin operasi tingkat proyek berlaku untuk objek dalam suatu proyek, seperti tabel, fungsi, dan resource. Contoh izin ini antara lain CreateTable, CreateInstance, dan SelectTable. Untuk informasi selengkapnya, lihat Daftar izin untuk proyek dan objek dalam proyek.

    Prosedur

    1. Login ke MaxCompute console dan pilih Wilayah di pojok kiri atas.

    2. Pada panel navigasi sebelah kiri, pilih Manage Configurations > Projects.

    3. Pada halaman Projects, klik Manage di kolom Actions untuk proyek target.

    4. Pada halaman Project Settings, klik tab Role Permissions.

      Anda dapat membuat role Resource atau mengedit role Resource yang sudah ada.

      Catatan

      Secara default, hanya Akun Alibaba Cloud yang memiliki izin untuk mengelola role dalam suatu proyek. Untuk memberikan izin menggunakan akun RAM, seperti RAM user atau RAM role, akun tersebut harus memiliki izin manajemen proyek yang diperlukan.

      • Create Resource Role

        1. Klik Create Project-level Role untuk membuat role proyek dengan izin MaxCompute yang diperlukan.

        2. Pada kotak dialog Create Role, konfigurasikan parameter sesuai petunjuk lalu klik OK.

          Atur Role Type menjadi Resource. Kemudian, berikan izin menggunakan ACL atau policy.

      • Modifikasi izin role Resource yang sudah ada

        • Pada tab Role Permissions, temukan role target lalu klik Modify Authorization di kolom Actions. Lalu, modifikasi izin menggunakan ACL atau dengan mengedit policy.

      Untuk informasi lebih lanjut mengenai izin, lihat Daftar izin untuk proyek dan objek dalam proyek. Topik ini menyediakan contoh cara memberikan izin menggunakan ACL dan policy di konsol. Untuk detail selengkapnya, lihat Berikan izin manajemen tingkat proyek.

    5. Temukan role tingkat proyek target lalu klik Manage Members di kolom Actions. Pada kotak dialog Manage Members, Anda dapat melihat anggota yang ditetapkan ke role tersebut, menetapkan role kepada pengguna, atau menghapus pengguna dari role tersebut, yang akan mencabut izinnya.

    Contoh otorisasi

    Catatan

    ACL

    Anda dapat menggunakan ACL untuk memberikan izin kepada role Resource guna membuat tabel (CreateTable) dan instans (CreateInstance), menampilkan daftar semua jenis objek dalam proyek (List), serta membaca metadata (Describe) dan data (Select) dari semua tabel.

    Catatan

    Jangan menutup bilah kemajuan atau halaman selama proses otorisasi berlangsung. Jika dilakukan, otorisasi akan terganggu.

    Policy

    • Policy ini memberikan izin kepada role Resource untuk membuat tabel (CreateTable) dan instans (CreateInstance), melihat daftar semua jenis objek dalam proyek (List), membaca metadata semua tabel (Describe), serta membaca data dari semua tabel (Select).

      {
    "Statement": [{
            "Action": ["odps:CreateTable","odps:CreateInstance","odps:List"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name"]},
        {
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

    • Policy ini memberikan izin kepada role Resource untuk membaca metadata (Describe) dan melakukan kueri data (Select) dari semua tabel yang namanya diawali dengan tmp, membaca dan memperbarui semua resource dan fungsi, serta menolak izin untuk menghapus tabel apa pun.

      {
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

      Jika penyimpanan data berbasis skema diaktifkan untuk proyek (lihat Schema operations), Anda harus memodifikasi policy sebagai berikut:

      {
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/*"]}],
    "Version": "1"}

    Berikan izin manajemen tingkat tenant

    Izin manajemen tingkat tenant mencakup pengelolaan pengguna dan role di tingkat tenant. Ini termasuk menambah atau menghapus pengguna, membuat atau menghapus role, melihat pengguna dan role, menetapkan atau mencabut role untuk pengguna, serta menambahkan atau menghapus role dari proyek.

    Catatan

    Hanya Akun Alibaba Cloud atau pengguna dengan role Super_Administrator atau Admin tingkat tenant yang dapat mengelola izin tingkat tenant.

    Untuk memberikan izin manajemen kepada akun RAM, seperti RAM user atau RAM role, Anda harus menggunakan Akun Alibaba Cloud untuk menetapkan role Super_Administrator atau Admin kepadanya. Role Super_Administrator dan Admin tingkat tenant menyediakan izin manajemen yang luas. Untuk detail izin tersebut, lihat Role planning. Berhati-hatilah saat menetapkan role ini. Untuk informasi lebih lanjut mengenai role tingkat tenant, lihat Berikan izin role tingkat tenant.

    1. Login ke MaxCompute console dan pilih Wilayah di pojok kiri atas.

    2. Pada panel navigasi sebelah kiri, pilih Manage Configurations > Tenants .

    3. Pada halaman Tenants, klik tab Users.

    4. Pada tab Users, temukan RAM user target lalu klik Modify Role di kolom Actions.

      Pada kotak dialog Edit Role, pindahkan role yang diinginkan dari bagian Available Roles ke bagian Added Roles, lalu klik OK.

    Berikan izin operasi objek tingkat tenant

    Izin operasi objek tingkat tenant mencakup izin untuk mengoperasikan objek tingkat tenant, seperti kuota atau koneksi jaringan. Contoh izin ini antara lain Usage dan CreateNetworkLink. Izin ini juga memungkinkan satu akun mengelola objek di beberapa proyek sekaligus, sehingga menyederhanakan pengelolaan izin. Untuk informasi lebih lanjut mengenai role tingkat tenant, lihat Berikan izin role tingkat tenant.

    Prosedur

    1. Login ke MaxCompute console dan pilih Wilayah di pojok kiri atas.

    2. Pada panel navigasi sebelah kiri, pilih Manage Configurations > Tenants .

    3. Pada halaman Tenants, klik tab Roles.

    4. Pada halaman Roles, Anda dapat membuat role tingkat tenant baru atau mengelola izin role kustom yang sudah ada.

      Catatan

      Hanya Akun Alibaba Cloud atau pengguna dengan role Super_Administrator atau Admin tingkat tenant yang dapat mengelola izin tingkat tenant.

      • Tambahkan role tingkat tenant

        Pada tab Roles, klik Add Role. Pada kotak dialog Add Role, masukkan Role Name kustom, isi Policy Content, lalu klik OK.

        Parameter

        Deskripsi

        Role name

        Nama role tingkat tenant baru. Nama harus unik dalam Akun Alibaba Cloud Anda, terdiri dari 6 hingga 64 karakter, diawali huruf, serta hanya boleh berisi huruf, angka, dan garis bawah (_).

        Policy content

        Kebijakan izin untuk role tersebut. Anda dapat mengedit kode kebijakan berdasarkan templat.

      • Modifikasi izin role tingkat tenant yang sudah ada

        Pada tab Roles, temukan role target lalu klik Manage Permissions di kolom Actions. Modifikasi kebijakan otorisasi lalu klik OK untuk menyimpan perubahan.

    5. Pada tab Users, temukan pengguna yang ingin Anda otorisasi lalu klik Modify Role di kolom Actions.

      Pada kotak dialog Edit Role, pindahkan role yang diinginkan dari bagian Available Roles ke bagian Added Roles, lalu klik OK.

    Contoh kebijakan

    Catatan

    • Contoh-contoh berikut menggunakan wildcard (*) untuk memberikan izin pada beberapa objek sekaligus.

    • Untuk informasi lebih lanjut mengenai aksi dan resource spesifik, lihat Daftar izin pada objek dalam tenant.

    • Policy ini memberikan izin Usage kepada role tingkat tenant pada semua kuota di semua Wilayah, serta izin CreateNetworkLink, List, dan Execute pada semua koneksi jaringan.

      {
    "Statement":[
      {
            "Action":[
                "odps:Usage"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:regions/*/quotas/*"
            ]
      },
      {
            "Action":[
                "odps:CreateNetworkLink",
                "odps:List",
                "odps:Execute"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:networklinks/*"
            ]
      }
    ],
    "Version":"1"
}

    • Policy ini memberikan semua izin operasi kepada role tingkat tenant pada proyek MaxCompute project_1 dan project_2.

      {
    "Statement":[
        {
            "Action":[
                "odps:*"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:projects/project_1",
                "acs:odps:*:projects/project_1/*",
                "acs:odps:*:projects/project_2",
                "acs:odps:*:projects/project_2/*"
            ]
        }
    ],
    "Version":"1"
}
      Catatan

      Hanya Pemilik proyek atau pengguna dengan role Super_Administrator atau Admin proyek yang dapat melakukan tindakan ini. Setelah Anda memberikan izin pada objek proyek menggunakan role tingkat tenant, Anda harus menambahkan role tersebut ke proyek agar izin berlaku. Pada tab Role Permissions, atur Role Level menjadi Tenant. Lalu, temukan role target dan klik Enable di kolom Actions.