全部产品
Search

搜索本产品

    MaxCompute:Mengelola izin pengguna di konsol MaxCompute

    文档中心

    MaxCompute:Mengelola izin pengguna di konsol MaxCompute

    更新时间:Jul 02, 2025

    MaxCompute memungkinkan Anda memberikan izin kepada pengguna RAM dan peran RAM di konsol MaxCompute menggunakan peran. Topik ini menjelaskan cara memberikan berbagai jenis izin serta menyediakan contoh kebijakan.

    Berikan izin manajemen tingkat proyek

    Izin manajemen tingkat proyek mencakup konfigurasi keamanan proyek, manajemen izin pengguna dan peran tingkat proyek, manajemen paket, kontrol akses berbasis label, serta pembersihan izin yang kedaluwarsa. Untuk informasi lebih lanjut, lihat Izin pada Manajemen Proyek.

    Prosedur

    1. Masuk ke konsol MaxCompute. Di bilah navigasi atas, pilih wilayah.

    2. Di panel navigasi kiri, pilih Workspace > Projects.

    3. Di halaman Projects, temukan proyek yang diinginkan dan klik Manage di kolom Actions.

    4. Di halaman Pengaturan Proyek, klik tab Role Permissions. Buat peran administrator atau modifikasi izin peran administrator yang ada sesuai kebutuhan bisnis Anda.

      Catatan

      Secara default, hanya akun Alibaba Cloud yang memiliki izin untuk mengelola peran dalam sebuah proyek. Jika ingin menggunakan pengguna RAM atau peran RAM untuk mengelola peran dalam proyek, Anda harus memberikan izin kepada pengguna RAM atau peran RAM tersebut untuk mengelola proyek.

      • Membuat Peran Administrator

        1. Di halaman Project Settings, klik tab Role Permissions.

        2. Di tab Role Permissions, klik Create Project-level Role.

        3. Di kotak dialog Create Role, konfigurasikan Nama Peran, pilih Admin dari daftar drop-down Tipe Peran, pilih Kebijakan untuk Metode Otorisasi, lalu masukkan isi kebijakan di bidang Kontrol Akses Berbasis Kebijakan.

        4. Klik OK.

      • Memodifikasi Izin Peran Administrator yang Sudah Ada

        1. Di halaman Project Settings, klik tab Role Permissions.

        2. Di tab Role Permissions pada halaman Pengaturan Proyek, temukan peran yang diinginkan dan klik Edit Role di kolom Actions. Di kotak dialog Edit Role, ubah isi kebijakan untuk peran tersebut.

        3. Klik OK.

      Untuk informasi lebih lanjut tentang item-item yang dapat ditentukan di elemen Action dan Resource, lihat Izin pada Manajemen Proyek. Topik ini menyediakan contoh kontrol akses berbasis kebijakan berdasarkan modul manajemen.

    5. Temukan peran yang diinginkan dan klik Manage Members di kolom Actions. Di kotak dialog Manage Members, Anda dapat melihat pengguna yang ditetapkan peran ini, menetapkan peran kepada pengguna, atau mencabut izin peran dari pengguna.

    Contoh Kebijakan

    Catatan

    • Dalam banyak kasus, izin manajemen suatu modul melibatkan berbagai operasi dan izin pada sumber daya. Dalam kode sampel berikut, tanda bintang (*) digunakan sebagai wildcard untuk memberikan izin kepada sekelompok objek sekaligus.

    • Untuk informasi lebih lanjut tentang item yang dapat ditentukan di elemen Action dan Resource, lihat Izin pada Manajemen Proyek.

    • Anda harus mengganti project_name dalam kode sampel berikut dengan nama proyek MaxCompute tempat Anda ingin memberikan izin.

    • Contoh 1: Kebijakan yang mengizinkan Anda mengelola peran dalam proyek

      {
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/roles",
        "acs:odps:*:projects/project_name/authorization/roles/*/*"
      ]
    }
  ],
  "Version": "1"
}

    • Contoh 2: Kebijakan yang mengizinkan Anda mengelola paket dalam proyek

      {
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/packages",
        "acs:odps:*:projects/project_name/authorization/packages/*",
        "acs:odps:*:projects/project_name/authorization/packages/*/*/*"
      ]
    }
  ],
  "Version": "1"
}
      Catatan

      Izin List pada proyek diperlukan untuk manajemen paket di konsol MaxCompute. Oleh karena itu, jika pengguna ingin mengelola paket dalam proyek, pengguna tersebut harus diberikan izin List pada proyek. Untuk informasi lebih lanjut tentang cara memberikan izin di konsol MaxCompute, lihat Berikan Izin Operasi Tingkat Proyek pada Objek. Untuk informasi lebih lanjut tentang cara memberikan izin menggunakan perintah, lihat Kelola Izin Pengguna Menggunakan Perintah.

    • Contoh 3: Kebijakan yang mengizinkan Anda memodifikasi konfigurasi keamanan proyek

      {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/configurations/*"
      ]
    }
  ],
  "Version":"1"
}

    • Contoh 4: Kebijakan yang mengizinkan Anda mengelola pengguna dalam proyek

      {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/users"
      ]
    }
  ],
  "Version":"1"
}

    • Contoh 5: Kebijakan yang mengizinkan Anda melakukan semua operasi manajemen pada proyek

      {
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/*"
      ]
    }
  ],
  "Version":"1"
}

    Berikan izin operasi tingkat proyek pada objek

    Izin operasi tingkat proyek pada objek mencakup izin operasi seperti CreateTable, CreateInstance, dan SelectTable pada proyek, tabel, fungsi, sumber daya, serta objek lain dalam proyek. Untuk informasi lebih lanjut, lihat Izin pada Proyek dan Objek dalam Proyek.

    Prosedur

    1. Masuk ke konsol MaxCompute. Di bilah navigasi atas, pilih wilayah.

    2. Di panel navigasi kiri, pilih Workspace > Projects.

    3. Di halaman Projects, temukan proyek yang diinginkan dan klik Manage di kolom Actions.

    4. Di tab Role Permissions pada halaman Pengaturan Proyek, buat peran sumber daya atau modifikasi izin peran sumber daya yang ada sesuai kebutuhan bisnis Anda.

      Catatan

      Secara default, hanya akun Alibaba Cloud yang memiliki izin untuk mengelola peran dalam sebuah proyek. Jika ingin menggunakan pengguna RAM atau peran RAM untuk mengelola peran dalam proyek, Anda harus memberikan izin kepada pengguna RAM atau peran RAM tersebut untuk mengelola proyek.

      • Membuat Peran Sumber Daya

        1. Di halaman Project Settings, klik tab Role Permissions.

        2. Di tab Role Permissions, klik Create Project-level Role.

        3. Di kotak dialog Create Role, konfigurasikan Nama Peran, pilih Sumber Daya dari daftar drop-down Tipe Peran, lalu pilih ACL atau Kebijakan untuk Metode Otorisasi. Jika memilih Kebijakan untuk Metode Otorisasi, masukkan isi kebijakan di bidang Kontrol Akses Berbasis Kebijakan.

        4. Klik OK.

      • Memodifikasi Izin Peran Sumber Daya yang Sudah Ada

        1. Di halaman Project Settings, klik tab Role Permissions.

        2. Di tab Role Permissions pada halaman Pengaturan Proyek, temukan peran yang diinginkan dan klik Edit Role di kolom Actions. Di kotak dialog Edit Role, ubah pengaturan untuk kontrol akses berbasis ACL atau kontrol akses berbasis kebijakan.

        3. Klik OK.

      Untuk informasi lebih lanjut tentang izin, lihat Izin pada Proyek dan Objek dalam Proyek. Topik ini menyediakan contoh tentang cara mengonfigurasi kontrol akses berbasis ACL dan kontrol akses berbasis kebijakan di konsol MaxCompute. Untuk informasi lebih lanjut, lihat Berikan Izin Manajemen Tingkat Proyek.

    5. Temukan peran yang diinginkan dan klik Manage Members di kolom Actions. Di kotak dialog Manage Members, Anda dapat melihat pengguna yang ditetapkan peran ini, menetapkan peran kepada pengguna, atau mencabut izin peran dari pengguna.

    Contoh

    Catatan

    • Untuk informasi lebih lanjut tentang tindakan dan objek izin operasi tingkat proyek, lihat Izin pada Proyek dan Objek dalam Proyek.

    • Anda harus mengganti project_name dalam kode sampel berikut dengan nama proyek MaxCompute tempat Anda ingin memberikan izin.

    • Contoh 1: Gunakan metode kontrol akses berbasis ACL untuk memberikan peran sumber daya izin CreateTable, CreateInstance, dan List pada proyek serta izin Describe dan Select pada semua tabel dalam proyek.

      • Berikan peran izin CreateTable, CreateInstance, dan List pada proyek. Izin List digunakan untuk melihat semua objek dalam proyek.在项目中创建表

      • Berikan peran izin Describe dan Select pada semua tabel dalam proyek. Izin Describe digunakan untuk membaca metadata tabel, dan izin Select digunakan untuk membaca data dalam tabel.表的授权

      Catatan

      Jangan tutup bilah kemajuan atau kotak dialog Edit Peran setelah mengklik OK. Jika tidak, otorisasi mungkin dihentikan.

    • Contoh 2: Gunakan kontrol akses berbasis kebijakan untuk memberikan peran sumber daya izin CreateTable, CreateInstance, dan List pada proyek serta izin Describe dan Select pada semua tabel dalam proyek.

      {
    "Statement": [{
            "Action": ["odps:CreateTable","odps:CreateInstance","odps:List"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name"]},
        {
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

    • Contoh 3: Gunakan kontrol akses berbasis kebijakan untuk memberikan peran sumber daya izin Describe dan Select pada semua tabel yang namanya dimulai dengan tmp dalam proyek, izin untuk membaca dan memperbarui semua sumber daya dan fungsi, serta izin untuk melarang penghapusan semua tabel.

      {
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

      Jika penyimpanan data berdasarkan skema diaktifkan untuk proyek, Anda harus memodifikasi kebijakan berdasarkan kode sampel berikut. Untuk informasi lebih lanjut tentang penyimpanan data berdasarkan skema, lihat Operasi Terkait Skema.

      {
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/*"]}],
    "Version": "1"}

    Berikan izin manajemen tingkat penyewa

    Izin manajemen tingkat penyewa merujuk pada manajemen izin pengguna dan peran tingkat penyewa. Izin ini mencakup penambahan atau penghapusan penyewa, penambahan atau penghapusan peran tingkat penyewa, peninjauan pengguna dan peran tingkat penyewa serta izin mereka, penetapan peran tingkat penyewa kepada pengguna, pencabutan peran tingkat penyewa dari pengguna, penambahan peran tingkat penyewa ke proyek, dan penghapusan peran tingkat penyewa dari proyek.

    Catatan

    Hanya akun Alibaba Cloud atau pengguna RAM dengan peran Super_Administrator atau Admin tingkat penyewa yang dapat melakukan kontrol akses berdasarkan peran tingkat penyewa.

    Jika Anda ingin memberikan izin manajemen kepada pengguna RAM atau peran RAM, gunakan akun Alibaba Cloud untuk menetapkan peran Super_Administrator atau Admin kepada pengguna RAM atau peran RAM. Peran Super_Administrator dan Admin tingkat penyewa memiliki beberapa izin manajemen. Lanjutkan dengan hati-hati. Untuk informasi lebih lanjut tentang izin, lihat Perencanaan Peran. Untuk informasi lebih lanjut tentang peran tingkat penyewa, lihat Lakukan Kontrol Akses Berdasarkan Peran Tingkat Penyewa.

    1. Masuk ke konsol MaxCompute. Di bilah navigasi atas, pilih wilayah.

    2. Di panel navigasi kiri, pilih Tenants > Users.

    3. Di halaman Users, temukan pengguna yang diinginkan dan klik Modify Role di kolom Actions. Lalu, di kotak dialog Edit Role, pilih peran yang diperlukan dari bagian Peran Tersedia untuk menetapkan peran kepada pengguna.

    Berikan izin operasi tingkat penyewa pada objek

    Izin operasi tingkat penyewa pada objek mencakup izin operasi pada objek tingkat penyewa seperti kuota dan koneksi jaringan. Misalnya, Anda dapat memberikan izin Usage untuk menggunakan kuota atau izin CreateNetworkLink untuk membuat koneksi jaringan. Izin ini memungkinkan Anda mengelola beberapa proyek menggunakan satu akun, sehingga memudahkan manajemen izin. Untuk informasi lebih lanjut tentang peran tingkat penyewa, lihat Lakukan Kontrol Akses Berdasarkan Peran Tingkat Penyewa.

    Prosedur

    1. Masuk ke konsol MaxCompute. Di bilah navigasi atas, pilih wilayah.

    2. Di panel navigasi kiri, pilih Tenants > Roles.

    3. Di halaman Roles, buat peran tingkat penyewa atau kelola izin dari peran kustom yang sudah ada.

      Catatan

      Hanya akun Alibaba Cloud atau pengguna RAM dengan peran Super_Administrator atau Admin tingkat tenant yang dapat melakukan kontrol akses berdasarkan peran tingkat tenant.

      • Menambahkan Peran Tingkat Tenant

        1. Di halaman Roles, klik Add Role.

        2. Dalam kotak dialog Add Role, konfigurasikan parameter. Tabel berikut menjelaskan parameter tersebut.

          Parameter

          Deskripsi

          Nama Peran

          Nama peran yang ingin Anda tambahkan. Nama harus unik di dalam akun Alibaba Cloud Anda. Nama harus dimulai dengan huruf dan hanya dapat berisi huruf, garis bawah (_), dan angka. Panjang nama harus 6 hingga 64 karakter.

          Isi Kebijakan

          Kebijakan yang ingin Anda lampirkan ke peran. Anda dapat menulis kode untuk kebijakan berdasarkan template kebijakan yang disediakan.

        3. Klik OK.

      • Memodifikasi Izin Peran Tingkat Tenant yang Sudah Ada

        1. Di halaman Roles, temukan peran yang diinginkan dan klik Manage Permissions di kolom Actions. Di kotak dialog Edit Role, ubah dokumen kebijakan.

        2. Klik OK.

    4. Di halaman Users, temukan pengguna yang diinginkan dan klik Modify Role di kolom Actions. Lalu, di kotak dialog Edit Role, pilih peran yang diperlukan dari bagian Peran Tersedia untuk menetapkan peran kepada pengguna.

    Contoh Kebijakan

    Catatan

    • Dalam kode sampel berikut, tanda bintang (*) digunakan sebagai wildcard untuk memberikan izin kepada sekelompok objek sekaligus.

    • Untuk informasi lebih lanjut tentang item yang dapat ditentukan di elemen Action dan Resource, lihat Izin pada Objek dalam Penyewa.

    • Contoh 1: Berikan peran tingkat penyewa izin Usage pada semua kuota di semua wilayah serta izin CreateNetworkLink, List, dan Execute pada semua koneksi jaringan.

      {
    "Statement":[
      {
            "Action":[
                "odps:Usage"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:regions/*/quotas/*"
            ]
      },
      {
            "Action":[
                "odps:CreateNetworkLink",
                "odps:List",
                "odps:Execute"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:networklinks/*"
            ]
      }
    ],
    "Version":"1"
}

    • Contoh 2: Berikan peran tingkat penyewa semua izin operasi pada proyek MaxCompute project_1 dan project_2.

      {
    "Statement":[
        {
            "Action":[
                "odps:*"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:projects/project_1",
                "acs:odps:*:projects/project_1/*",
                "acs:odps:*:projects/project_2",
                "acs:odps:*:projects/project_2/*"
            ]
        }
    ],
    "Version":"1"
}
      Catatan

      Setelah menggunakan peran tingkat penyewa untuk memberikan izin pada objek tertentu dalam proyek, Anda harus menambahkan peran tingkat penyewa ke proyek agar izin tersebut berlaku. Hanya pemilik proyek atau pengguna dengan peran Super_Administrator atau Admin proyek yang dapat menambahkan peran tingkat penyewa ke proyek. Untuk membuat peran tingkat penyewa berlaku, lakukan langkah berikut: Pada tab Role Permissions halaman Pengaturan Proyek, pilih Tenant dari daftar drop-down Role Level, temukan peran yang diinginkan, lalu klik Enable di kolom Actions.