Topik ini menjelaskan cara memberikan izin kepada role tingkat tenant, menggunakan perintah terkait, serta mengelola role tersebut untuk mengontrol akses ke objek tingkat tenant seperti quota dan NetworkLink.
Latar Belakang
Di MaxCompute, izin untuk objek seperti project, tabel, fungsi, resource, dan instance biasanya dikelola di tingkat project, yang mengharuskan penambahan pengguna ke dalam project sebelum memberikan izin. Sebaliknya, Anda dapat menggunakan policy untuk memberikan izin kepada role tingkat tenant guna melakukan aksi pada objek quota dan NetworkLink.
Prasyarat
Hanya Akun Alibaba Cloud atau Pengguna RAM dengan role Super_Administrator atau Admin tingkat tenant yang dapat mengelola izin tingkat tenant.
Izin tingkat tenant hanya dapat dikontrol melalui role tingkat tenant.
Anda hanya dapat memberikan izin kepada
roletingkat tenant dengan menggunakanpolicy.
Alur kerja otorisasi role tingkat tenant
Buat role tingkat tenant bernama
t_role1.Berikan izin kepada role
t_role1dengan menggunakanpolicy.Tambahkan pengguna sebagai anggota tenant.
Tetapkan role
t_role1kepada pengguna tersebut.
Perintah
-- Jalankan perintah berikut di dalam project yang berada di dalam tenant.
-- Tambah atau hapus pengguna dari tenant.
ADD tenant USER <user_name>;
REMOVE tenant USER <user_name>;
-- Lihat pengguna dan role di dalam tenant.
List tenant users;
List tenant roles;
-- Buat atau hapus role tingkat tenant.
CREATE tenant role <role_name>;
DROP tenant role <role_name>;
-- Berikan role tingkat tenant kepada pengguna atau cabut dari pengguna.
GRANT tenant role <rolename> TO USER <user_name>;
REVOKE tenant role <rolename> FROM USER <user_name>;
-- Tambahkan role tingkat tenant ke project atau hapus dari project.
ADD tenant role <rolename> TO project <projectname>;
REMOVE tenant role <rolename> FROM project <projectname>;
-- Lihat izin dari role atau pengguna tingkat tenant.
SHOW grants FOR tenant role <role_name>;
SHOW grants FOR tenant USER <user_name>;
SHOW principals FOR tenant [role] <role_name>;
Kelola izin di konsol
Buat role tenant
Masuk ke MaxCompute console, lalu pilih Wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, pilih .
Di halaman Tenants, klik tab Roles.
Di tab Roles, klik Add Role. Di kotak dialog Add Role, masukkan Role Name dan Policy Content, lalu klik OK untuk membuat role.
Parameter
Description
Role Name
Nama unik untuk role tingkat tenant yang memenuhi persyaratan berikut:
Diawali dengan huruf.
Hanya terdiri dari huruf, garis bawah (_), dan angka.
Panjangnya antara 6 hingga 64 karakter.
Policy Content
Kebijakan izin untuk role tersebut. Edit kode kebijakan di antarmuka berdasarkan templat kebijakan.
Contoh isi policy berikut menunjukkan bahwa:
Untuk objek
networklink, role tersebut diberikan izin untuk melakukan operasiCreateNetworkLink,List, danExecuteterhadap semua networklink.Untuk objek
Quota, role tersebut diberikan izinUsageterhadap semua Quota di seluruh Wilayah (Region).
{ "Statement":[ { "Action":[ "odps:CreateNetworkLink", "odps:List", "odps:Execute" ], "Effect":"Allow", "Resource":[ "acs:odps:*:networklinks/*" ] }, { "Action":[ "odps:Usage" ], "Effect":"Allow", "Resource":[ "acs:odps:*:regions/*/quotas/*" ] } ], "Version":"1" }Di halaman Tenants, klik tab Users.
Di tab ini, Anda dapat mengelola pengguna tingkat tenant, termasuk menambahkan pengguna baru dari Akun Alibaba Cloud saat ini dan memberikan role tingkat tenant kepada mereka.
Mengelola peran penyewa
Masuk ke MaxCompute console, lalu pilih Wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, pilih .
Di halaman Tenants, klik tab Roles.
Di kolom Actions pada daftar role, Anda dapat melihat, menghapus, atau mengubah role.
Kelola pengguna tenant
Masuk ke MaxCompute console, lalu pilih Wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, pilih .
Di halaman Tenants, klik tab Users.
Di tab ini, Anda dapat mengelola pengguna tingkat tenant, termasuk menambahkan pengguna baru dari Akun Alibaba Cloud saat ini dan memberikan role tingkat tenant kepada mereka.