全部产品
Search

搜索本产品

    MaxCompute:Melakukan kontrol akses berdasarkan peran tingkat penyewa

    文档中心

    MaxCompute:Melakukan kontrol akses berdasarkan peran tingkat penyewa

    更新时间:Jun 19, 2025

    MaxCompute mendukung manajemen izin tingkat penyewa, memungkinkan Anda mengelola izin pada objek tertentu seperti kuota dan koneksi jaringan. Topik ini menjelaskan cara melakukan kontrol akses berdasarkan peran tingkat penyewa, mengelola izin, serta pernyataan SQL terkait.

    Informasi latar belakang

    Semua izin operasi pada objek MaxCompute seperti proyek, tabel, fungsi, sumber daya, dan instans dikelola di tingkat proyek. Izin pada sebuah proyek hanya dapat diberikan kepada pengguna setelah pengguna ditambahkan ke proyek. Topik ini menjelaskan cara menetapkan peran kepada penyewa dan memberikan izin operasi yang diperlukan pada objek tertentu, seperti kuota dan koneksi jaringan, menggunakan kebijakan

    Batasan

    • Hanya akun Alibaba Cloud atau pengguna RAM dengan peran tingkat penyewa Super_Administrator atau Admin yang dapat melakukan kontrol akses berdasarkan peran tingkat penyewa.

    • Izin tingkat penyewa hanya dapat dikelola oleh peran tingkat penyewa.

    • Otorisasi untuk peran tingkat penyewa hanya dapat dilakukan menggunakan kebijakan.

    Alur kerja untuk kontrol akses berdasarkan peran tingkat penyewa

    1. Buat peran tingkat penyewa t_role1.

    2. Berikan izin kepada peran tingkat penyewa t_role1 menggunakan kebijakan

    3. Tambahkan pengguna ke peran tingkat penyewa t_role1.

    4. Tetapkan peran tingkat penyewa t_role1 kepada pengguna.

    Pernyataan yang terkait dengan izin tingkat penyewa

    Pernyataan SQL terkait dengan izin:

    -- Pernyataan berikut dapat dieksekusi untuk proyek-proyek tempat penyewa tertentu diberikan izin operasi.

-- Menambahkan atau menghapus pengguna dari penyewa.
    Add tenant user <user_name>;
    Remove tenant user <user_name>;
-- Melihat pengguna dan peran dalam penyewa.
    List tenant users;
    List tenant roles;
-- Membuat atau menghapus peran tingkat penyewa.
    Create tenant role <role_name>;
    drop tenant role <role_name>;
-- Memberikan peran tingkat penyewa kepada pengguna atau mencabut peran tingkat penyewa dari pengguna.
    Grant tenant role <rolename> to user <user_name>;
    Revoke tenant role <rolename> from user <user_name>;

-- Menambahkan atau menghapus peran tingkat penyewa ke atau dari proyek.
    add tenant role <rolename> to project <projectname>;
    remove tenant role <rolename> from project <projectname>;

-- Melihat izin peran tingkat penyewa atau pengguna.
    Show grants for tenant role <role_name>;
    Show grants for tenant user <user_name>;
    Show principals for tenant [role] <role_name>;

    Mengelola izin tingkat penyewa di konsol MaxCompute

    • Buat peran tingkat penyewa:

      1. Masuk ke konsol MaxCompute dan pilih wilayah di pojok kiri atas.

      2. Di panel navigasi sebelah kiri, pilih Tenants > Roles.

      3. Di halaman Roles, klik Add Role.

      4. Dalam kotak dialog Add Role, konfigurasikan parameter berikut. Tabel di bawah menjelaskan parameter tersebut.

        Parameter

        Deskripsi

        Nama Peran

        Nama peran. Nama harus unik dalam akun Alibaba Cloud Anda. Saat menentukan nama untuk peran, pastikan nama memenuhi kondisi berikut:

        • Nama dimulai dengan huruf.

        • Nama hanya berisi huruf, garis bawah (_), atau angka.

        • Nama memiliki panjang 6 hingga 64 karakter.

        Kebijakan

        Kebijakan yang ingin Anda lampirkan ke peran. Anda dapat menulis kode untuk kebijakan berdasarkan template kebijakan yang disediakan.

        Kode contoh berikut menunjukkan dua kebijakan: Operasi CreateNetworkLink dan Execute yang dapat dilakukan pada semua koneksi jaringan diizinkan. Operasi Usage yang dapat dilakukan pada semua kuota di semua wilayah diizinkan.

        {
    "Statement":[
        {
            "Action":[
                "odps:CreateNetworkLink",
                "odps:List",
                "odps:Execute"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:networklinks/*"
            ]
        },
        {
            "Action":[
                "odps:Usage"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:regions/*/quotas/*"
            ]
        }
    ],
    "Version":"1"
}

      5. Klik OK. Jika peran ditampilkan dalam daftar peran, peran telah berhasil dibuat. Untuk informasi lebih lanjut tentang otorisasi peran, lihat Melakukan kontrol akses berdasarkan peran tingkat penyewa.

      6. Di halaman Tenant Management, klik tab Users untuk mengelola pengguna tingkat penyewa. Anda dapat menambahkan pengguna RAM dalam akun Alibaba Cloud saat ini dan menetapkan peran tingkat penyewa kepada pengguna RAM tersebut.

    • Kelola peran tingkat penyewa:

      1. Masuk ke konsol MaxCompute dan pilih wilayah di pojok kiri atas.

      2. Di panel navigasi sebelah kiri, pilih Tenants > Roles.

      3. Di halaman Roles, klik Add Role.

      4. Temukan peran yang diinginkan dan klik Kelola Izin di kolom Actions untuk melihat atau memodifikasi peran, atau klik Actions di kolom Tindakan untuk menghapus peran sesuai kebutuhan bisnis Anda.

    • Kelola pengguna tingkat penyewa:

      1. Masuk ke konsol MaxCompute dan pilih wilayah di pojok kiri atas.

      2. Di panel navigasi sebelah kiri, pilih Tenants > Roles.

      3. Di halaman Tenant Management, klik tab Users.

        Anda dapat mengelola pengguna tingkat penyewa. Sebagai contoh, Anda dapat menambahkan pengguna RAM dalam akun Alibaba Cloud Anda ke penyewa dan menetapkan peran tingkat penyewa kepada pengguna RAM tersebut.