Ikhtisar Izin - MaxCompute

Untuk memastikan keamanan data dalam sebuah proyek MaxCompute, pemilik proyek atau pengguna dengan kemampuan otorisasi harus mengelola izin anggota di proyek tersebut. Topik ini menjelaskan sistem manajemen izin MaxCompute.

Sistem Manajemen Izin

Item	Deskripsi
Pihak yang Berwenang	MaxCompute mendukung pihak-pihak berwenang berikut: Pengguna: mencakup akun Alibaba Cloud, pengguna RAM, dan peran RAM. MaxCompute memungkinkan Anda mengelola pengguna. Misalnya, Anda dapat menambahkan, menghapus, dan menanyakan pengguna. Untuk informasi lebih lanjut tentang cara mengelola pengguna, lihat Perencanaan dan Pengelolaan Pengguna. Peran: MaxCompute memiliki peran administrator bawaan dan mendukung peran kustom. MaxCompute memungkinkan Anda mengelola peran kustom. Misalnya, Anda dapat menambahkan, menghapus, dan menanyakan peran kustom. Untuk informasi lebih lanjut tentang cara mengelola peran, lihat Perencanaan Peran.
Objek	MaxCompute mendukung kontrol akses terperinci pada proyek, tabel, sumber daya, fungsi, dan instans. Anda dapat mengelola izin pengguna pada objek secara terperinci berdasarkan solusi otorisasi yang disediakan oleh MaxCompute. Untuk informasi lebih lanjut tentang izin pada setiap objek, lihat Izin MaxCompute.
Kontrol Akses	MaxCompute menyediakan solusi otorisasi berikut untuk memenuhi persyaratan otorisasi yang berbeda: Kontrol akses berbasis ACL: memberikan izin operasi kepada pengguna atau peran pada proyek, tabel, sumber daya, fungsi, atau instans. Kontrol akses berbasis kebijakan: memberikan izin operasi kepada peran pada proyek, tabel, sumber daya, fungsi, atau instans. Setelah peran ditetapkan kepada pengguna, pengguna diberi izin terkait. Kontrol unduhan: memberikan izin kepada pengguna atau peran untuk mengunduh tabel, fungsi, atau sumber daya. Kontrol akses berbasis label: menyediakan kontrol akses pada data sensitif. Pengguna atau peran dapat mengakses data berdasarkan tingkat akses mereka. Jika pengguna atau peran ingin mengakses data dengan tingkat sensitivitas tinggi, Anda harus melakukan kontrol akses berbasis label untuk pengguna atau peran tersebut. Akses sumber daya lintas-proyek berbasis paket: memungkinkan Anda mengemas sumber daya suatu proyek dan kemudian memungkinkan proyek lain yang ingin mengakses sumber daya tersebut untuk menginstal paket. Solusi ini cocok untuk skenario di mana akses sumber daya lintas-proyek diperlukan.
Otorisasi berbasis peran	Jika Anda ingin memberikan izin operasi yang sama kepada beberapa pengguna, Anda dapat memberikan izin kepada pengguna berdasarkan peran. Ini menyederhanakan operasi otorisasi. Untuk informasi lebih lanjut tentang otorisasi berbasis peran, lihat Melakukan kontrol akses berdasarkan peran tingkat proyek.
Otorisasi pengguna	Anda dapat memberikan izin kepada pengguna dengan menggunakan salah satu metode berikut: Otorisasi langsung: memungkinkan Anda memberikan izin operasi secara terpisah kepada pengguna tertentu. Otorisasi berbasis peran: memungkinkan Anda memberikan izin operasi yang sama kepada beberapa pengguna. Untuk informasi lebih lanjut tentang otorisasi pengguna, lihat Mengelola izin pengguna dengan menggunakan perintah.
Pengumpulan Informasi Izin	Anda dapat menanyakan informasi izin personel proyek untuk memeriksa apakah izin yang diberikan telah berlaku. Untuk informasi lebih lanjut tentang cara menanyakan informasi izin, lihat Memeriksa izin.

DataWorks juga memiliki sistem izin. Jika Anda menggunakan DataWorks untuk memelihara proyek MaxCompute, Anda dapat menggunakan kemampuan manajemen pengguna dan peran yang disediakan oleh DataWorks untuk mengelola izin pengguna dengan menetapkan peran kepada pengguna. Untuk informasi lebih lanjut tentang hubungan izin antara DataWorks dan MaxCompute, lihat Hubungan Izin antara MaxCompute dan DataWorks.

Proses Otentikasi

Ketika pengguna MaxCompute melakukan operasi pada berbagai jenis objek MaxCompute, pengguna tersebut harus diautentikasi. Pemilik sumber daya (akun Alibaba Cloud) memiliki izin tertinggi dan dapat melakukan semua operasi pada objek MaxCompute. Pemilik sumber daya juga dapat memberikan izin manajemen kepada pengguna RAM atau peran RAM. Akun Alibaba Cloud dan pengguna dengan izin manajemen dapat memberikan izin kepada pengguna lain. Operasi otorisasi menentukan pengguna yang diberi izin, objek tempat izin diberikan, dan operasi yang dapat dilakukan pengguna pada objek tersebut.

Proses otentikasi MaxCompute dibagi menjadi otentikasi RAM dan otentikasi layanan MaxCompute berdasarkan objek dan operasi. Gambar berikut menunjukkan proses otentikasi yang diperlukan sebelum pengguna dapat melakukan operasi. MaxCompute权限模型

Otentikasi RAM

Jika pengguna perlu mengaktifkan layanan, membeli sumber daya, dan mengelola kuota, proyek, atau penyewa di konsol MaxCompute, Alibaba Cloud melakukan otentikasi RAM untuk pengguna tersebut untuk memeriksa apakah pengguna diberi izin yang relevan. Jika pengguna tidak diberi izin yang relevan, pengguna tidak dapat melakukan operasi tersebut.

Untuk daftar operasi yang memerlukan otentikasi RAM, lihat Izin RAM.
Untuk informasi lebih lanjut tentang cara melampirkan kebijakan sistem ke pengguna RAM atau peran RAM, lihat Memberikan Izin kepada Pengguna RAM.

Otentikasi Layanan MaxCompute

Otentikasi untuk Operasi pada Tingkat Proyek MaxCompute
Izin operasi pada tingkat proyek MaxCompute mencakup izin pada operasi objek pada tingkat proyek dan izin pada operasi manajemen pada tingkat proyek.
- Izin pada operasi objek pada tingkat proyek: izin untuk melakukan operasi pada objek seperti proyek, tabel, fungsi, dan sumber daya. Izin tersebut mencakup CreateTable, CreateInstance, dan SelectTable. Untuk informasi lebih lanjut, lihat Izin pada Proyek dan Objek dalam Proyek.
- Izin pada operasi manajemen pada tingkat proyek: izin untuk mengonfigurasi pengaturan keamanan proyek, mengelola izin pengguna dan peran tingkat proyek, mengelola paket, mengelola label, dan membersihkan izin yang kedaluwarsa. Untuk informasi lebih lanjut, lihat Izin pada Manajemen Proyek.
Berikut ini adalah deskripsi prosedur otentikasi untuk operasi pada proyek MaxCompute.
1. Otentikasi pengguna. Untuk informasi lebih lanjut tentang otentikasi pengguna, lihat Otentikasi Pengguna.
  - Masuk ke konsol MaxCompute menggunakan akun Alibaba Cloud atau pengguna RAM dari akun Alibaba Cloud.
  - Jika Anda menggunakan alat seperti odpscmd atau JDBC untuk terhubung ke MaxCompute, ID AccessKey dan Rahasia AccessKey diperlukan.
  - Jika Anda menggunakan akun untuk terhubung ke MaxCompute, sistem menentukan apakah akun pengguna proyek saat ini digunakan. Pengguna hanya dapat melakukan operasi dalam proyek jika administrator proyek menjalankan perintah add user "xxx" untuk pengguna tersebut.
2. Pemeriksaan sumber permintaan: Periksa daftar putih alamat IP. Untuk informasi lebih lanjut, lihat Mengelola Daftar Putih Alamat IP.
3. Pemeriksaan status proyek: Periksa apakah proyek dalam keadaan normal.
4. Pemeriksaan izin MaxCompute: Setelah pengguna ditambahkan ke proyek, pengguna harus diberi izin yang relevan untuk melakukan operasi dalam ruang lingkup izin. Izin tersebut mencakup izin yang diberikan dengan menggunakan metode otorisasi yang berbeda, seperti Kontrol Akses Berbasis ACL, Kontrol Akses Berbasis Kebijakan, Kontrol Unduhan, Kontrol Akses Berbasis Label, dan Akses Sumber Daya Lintas-Proyek Berbasis Paket. Untuk informasi lebih lanjut tentang cara mengelola pengguna tingkat proyek, lihat Mengelola Izin Pengguna dengan Menggunakan Perintah.
Otentikasi untuk Operasi pada Tingkat Penyewa MaxCompute
Izin pada operasi pada tingkat penyewa MaxCompute mencakup izin pada operasi objek pada tingkat penyewa dan izin pada operasi manajemen pada tingkat penyewa.
- Izin pada operasi objek pada tingkat penyewa mencakup izin pada objek tingkat penyewa, seperti izin Penggunaan pada kuota dan izin CreateNetworkLink pada koneksi jaringan. Untuk informasi lebih lanjut tentang izin pada objek tingkat penyewa, lihat Izin pada Objek dalam Penyewa.
  Izin pada operasi objek pada tingkat penyewa juga memungkinkan pengguna mengelola beberapa proyek menggunakan satu akun. Ini mempermudah manajemen izin.
- Izin pada operasi manajemen pada tingkat penyewa diberikan untuk mengelola izin pengguna dan peran pada tingkat penyewa. Misalnya, setelah pengguna diberi izin, pengguna dapat menambahkan atau menghapus pengguna tingkat penyewa, membuat atau menghapus peran tingkat penyewa, melihat daftar pengguna dan peran tingkat penyewa serta izin mereka, melampirkan peran tingkat penyewa kepada pengguna, melepas peran tingkat penyewa dari pengguna, menambahkan peran tingkat penyewa ke proyek, dan menghapus peran tingkat penyewa dari proyek.
Jika pengguna perlu melakukan operasi tersebut, MaxCompute melakukan operasi otentikasi untuk memeriksa apakah pengguna diberi izin yang relevan. Jika pengguna tidak diberi izin yang relevan, operasi tersebut tidak dapat dilakukan.

Metode Otorisasi

Berikut ini adalah deskripsi metode otorisasi umum yang didukung di MaxCompute.

Metode 1: Memberikan izin operasi pada objek kepada pengguna.
Setelah pemilik proyek atau pengguna dengan peran administrator bawaan menambahkan pengguna ke proyek MaxCompute, pengguna dengan kemampuan otorisasi yang diperlukan memberikan izin operasi pada objek kepada pengguna yang ditambahkan dengan menggunakan daftar kontrol akses (ACL).
Metode 2: Memberikan izin operasi pada objek kepada beberapa pengguna berdasarkan peran.
Setelah pemilik proyek atau pengguna dengan peran administrator bawaan menambahkan pengguna dan peran ke proyek MaxCompute, pengguna dengan kemampuan otorisasi yang diperlukan memberikan izin operasi pada objek kepada peran dengan menggunakan ACL, kebijakan, atau solusi kontrol unduhan dan menetapkan peran kepada pengguna.
Metode 3: Memberikan izin kepada pengguna untuk mengakses data dengan tingkat sensitivitas tinggi.
Setelah pemilik proyek atau pengguna dengan peran Admin menambahkan pengguna ke proyek MaxCompute, pemilik proyek atau pengguna dengan peran Admin dapat menambahkan tingkat akses kepada pengguna. Jika pengguna ingin mengakses data dengan tingkat sensitivitas tinggi, pemilik proyek atau pengguna dengan peran Admin juga dapat menggunakan kontrol akses berbasis label untuk mengotorisasi pengguna mengakses data tersebut.
Metode 4: Memberikan izin kepada beberapa pengguna untuk mengakses data dengan tingkat sensitivitas tinggi yang sama berdasarkan peran.
Setelah pemilik proyek atau pengguna dengan peran administrator bawaan menambahkan pengguna ke proyek MaxCompute, pemilik proyek atau pengguna dengan peran Admin dapat menambahkan label tingkat akses kepada pengguna. Jika Anda ingin beberapa pengguna mengakses data dengan tingkat sensitivitas tinggi yang sama, Anda dapat membuat peran, mengaktifkan pemilik proyek atau pengguna dengan peran Admin untuk memberikan izin kepada peran untuk mengakses data dengan menggunakan kontrol akses berbasis label, dan kemudian menetapkan peran kepada pengguna.
Metode 5: Memberikan izin kepada pengguna dalam proyek untuk mengakses sumber daya dalam paket dalam skenario akses sumber daya lintas-proyek.
Setelah pemilik proyek tempat sumber daya dimiliki membuat paket dan menambahkan sumber daya ke paket, pemilik proyek mengotorisasi proyek lain untuk menginstal paket. Kemudian, pemilik proyek tempat paket diinstal memberikan izin pada sumber daya kepada pengguna lain dalam proyek dengan menggunakan ACL atau kontrol akses berbasis label.
Metode 6: Memberikan izin kepada pengguna untuk mengakses sumber daya dalam paket berdasarkan peran dalam skenario akses sumber daya lintas-proyek.
Setelah pemilik proyek tempat sumber daya dimiliki membuat paket dan menambahkan sumber daya ke paket, pemilik proyek mengotorisasi proyek lain untuk menginstal paket. Kemudian, pemilik proyek tempat paket diinstal memberikan izin pada sumber daya kepada peran dengan menggunakan ACL atau kontrol akses berbasis label dan menetapkan peran kepada pengguna lain dalam proyek.

Hubungan Izin antara MaxCompute dan DataWorks

Sebelum Anda memahami hubungan izin antara MaxCompute dan DataWorks, Anda harus memahami hubungan antara proyek MaxCompute dan ruang kerja DataWorks.

Ketika Anda membuat proyek MaxCompute, jika Anda memilih basic mode untuk ruang kerja DataWorks, ruang kerja DataWorks dikaitkan dengan proyek MaxCompute.
Ketika Anda membuat proyek MaxCompute, jika Anda memilih standard mode untuk ruang kerja DataWorks, ruang kerja DataWorks dikaitkan dengan proyek MaxCompute di lingkungan pengembangan dan proyek MaxCompute di lingkungan produksi. Untuk proyek MaxCompute di lingkungan pengembangan, nama proyek diakhiri dengan _dev.

Anda juga harus mengonfigurasi visitor identities of a MaxCompute project untuk menentukan kebijakan akun dalam proyek MaxCompute.

Jika Anda menggunakan sistem manajemen izin MaxCompute untuk mengontrol izin, operasi pengguna di konsol DataWorks tidak terpengaruh. DataWorks memungkinkan Anda mengelola izin proyek MaxCompute secara visual. Namun, jika Anda menggunakan DataWorks untuk menetapkan peran kepada pengguna, izin operasi pada sumber daya MaxCompute mungkin terpengaruh.

Konsep pengguna dan peran ada di DataWorks dan MaxCompute. Berikut ini adalah deskripsi hubungan izin antara DataWorks dan MaxCompute.

Peran dan izin mereka

DataWorks menggunakan peran bawaan untuk memberikan izin pada sumber daya dalam proyek MaxCompute kepada anggota proyek untuk mengembangkan data. Tabel berikut menjelaskan hubungan izin antara peran MaxCompute dan peran bawaan DataWorks.

Pemetaan		Deskripsi Izin
Peran atau Identitas DataWorks	Peran MaxCompute	Izin pada Data di Lingkungan Pengembangan DataWorks dan Proyek MaxCompute Terkait	Izin pada Data di Lingkungan Produksi DataWorks dan Proyek MaxCompute Terkait	Deskripsi Izin di DataWorks
Administrator Ruang Kerja	Role_Project_Admin	MaxCompute: Peran ini memiliki semua izin pada proyek dan tabel, fungsi, sumber daya, instans, dan pekerjaan dalam proyek, dan memiliki izin `Read` pada `paket` dalam proyek. DataWorks: Peran ini memiliki izin untuk melaksanakan pengembangan data dan menyebarkan tugas ke lingkungan produksi.	Tidak ada izin yang diberikan secara default. Anda harus meminta izin yang diperlukan di Security Center.	Pengguna dengan peran Administrator Ruang Kerja bertindak sebagai administrator ruang kerja. Administrator memiliki izin untuk mengelola properti dasar, sumber data, konfigurasi mesin komputasi, dan anggota ruang kerja. Selain itu, administrator dapat menetapkan peran Administrator Ruang Kerja, Pengembangan, O&M, Penyebaran, atau Pengunjung kepada anggota ruang kerja.
Pengembangan	Role_Project_Dev	MaxCompute: Peran ini memiliki semua izin pada proyek dan tabel, fungsi, sumber daya, instans, dan pekerjaan dalam proyek, dan memiliki izin `Read` pada `paket` dalam proyek. DataWorks: Peran ini memiliki izin untuk melakukan operasi pengembangan data tetapi tidak memiliki izin untuk menyebarkan tugas ke lingkungan produksi.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Pengguna dengan peran Pengembangan memiliki izin untuk membuat alur kerja, file skrip, sumber daya, fungsi yang ditentukan pengguna (UDF), tabel, dan tugas penyebaran, serta menghapus tabel, tetapi tidak memiliki izin untuk melakukan operasi penyebaran.
O&M	Role_Project_Pe	Peran ini memiliki semua izin pada proyek dan fungsi, sumber daya, instans, dan pekerjaan dalam proyek, izin Read pada paket dalam proyek, dan izin Read dan Describe pada tabel dalam proyek. Catatan Peran O&M memiliki izin pada mesin komputasi MaxCompute tetapi tidak memiliki izin untuk menjalankan node di konsol DataWorks.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran O&M memiliki izin penyebaran dan O&M online yang diberikan oleh peran Administrator Ruang Kerja tetapi tidak memiliki izin untuk melakukan operasi pengembangan data.
Penyebaran	Role_Project_Deploy	Tidak ada izin secara default.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran Penyebaran memiliki izin serupa dengan peran O&M, kecuali izin O&M online.
Pengunjung	Role_Project_Guest	Tidak ada izin secara default.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Pengguna dengan peran Pengunjung memiliki izin untuk melihat data tetapi tidak memiliki izin untuk memodifikasi alur kerja atau kode.
Manajer Keamanan	Role_Project_Security	Tidak ada izin secara default.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran Manajer Keamanan hanya dapat digunakan di Data Security Guard dan memiliki izin untuk mengonfigurasi aturan identifikasi data sensitif dan mengaudit risiko data di Data Security Guard.
Analis Data	Role_Project_Data_Analyst	MaxCompute: Peran ini memiliki izin `CreateInstance` dan `CreateTable` dalam proyek. DataWorks: Peran ini memiliki izin untuk melihat model di Data Modeling dan izin untuk melihat dan menggunakan fitur di DataAnalysis.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran ini hanya memiliki izin pada DataAnalysis.
Desainer Model	Pole_Project_Erd	Tidak ada izin secara default.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran ini memiliki izin untuk melihat model di Data Modeling dan mengubah konfigurasi parameter di Perencanaan Gudang Data, Standar Data, Pemodelan Dimensi, dan Metrik Data. Peran ini tidak memiliki izin untuk menerbitkan model.
Administrator Tata Kelola Data	Role_Project_Data_Governance	Tidak ada izin secara default.	Tidak ada izin secara default. Anda harus meminta izin yang diperlukan di Security Center.	Peran ini hanya memiliki izin pada Pusat Tata Kelola Data. Peran ini dapat digunakan untuk melihat dan mengelola masalah tata kelola data yang terdeteksi, mengonfigurasi rencana tata kelola data, dan mengaktifkan item pemeriksaan. Peran ini tidak memiliki izin pada operasi seperti pengembangan data dan O&M.
Pemilik Ruang Kerja (Akun Alibaba Cloud)	Project Owner	Identitas ini adalah pemilik proyek dan memiliki semua izin pada proyek.	Izin yang sama seperti di lingkungan pengembangan.	Tidak ada.
Tidak ada	Super_Administrator	Peran ini adalah administrator super proyek dan memiliki izin manajemen pada proyek serta semua izin pada semua jenis sumber daya dalam proyek.	Izin yang sama seperti di lingkungan pengembangan.	Tidak ada.
Tidak ada	Admin	Ketika Anda membuat proyek, sistem menciptakan peran Admin untuk proyek ini dan memberikan izin peran untuk mengakses semua objek dalam proyek, mengelola pengguna atau peran, dan memberikan izin kepada pengguna atau peran. Dibandingkan dengan peran Project Owner, peran Admin tidak memiliki izin untuk melakukan operasi berikut: menetapkan peran Admin kepada pengguna, mengonfigurasi kebijakan keamanan untuk proyek, memodifikasi model otentikasi untuk proyek, dan memodifikasi izin peran Admin. Peran Project Owner dapat menetapkan peran Admin kepada pengguna dan mengotorisasi pengguna untuk mengelola konfigurasi keamanan.	Izin yang sama seperti di lingkungan pengembangan.	Tidak ada.
Tidak ada	Role_Project_Scheduler	Tidak ada izin secara default.	MaxCompute: Peran ini memiliki semua izin pada proyek dan tabel, fungsi, sumber daya, instans, dan pekerjaan dalam proyek, dan memiliki izin Read pada paket dalam proyek. DataWorks: Peran ini digunakan sebagai identitas untuk mengirimkan tugas ke lingkungan produksi untuk penjadwalan. Catatan Jika Anda menetapkan pengguna RAM atau peran RAM sebagai default access identity ketika Anda menambahkan proyek MaxCompute ke ruang kerja di lingkungan produksi sebagai sumber data, pengguna RAM atau peran RAM tersebut diberi izin yang sama dengan izin peran Role_Project_Scheduler dari proyek MaxCompute. Untuk informasi tentang cara menetapkan identitas akses default, lihat bagian Tambahkan Sumber Data dalam Tambahkan Sumber Data MaxCompute Baru.	Identitas ini digunakan untuk menjadwalkan dan menjalankan tugas MaxCompute di lingkungan produksi.

Pengguna dan Izin Mereka
- Dalam ruang kerja DataWorks, pemilik ruang kerja harus merupakan akun Alibaba Cloud, dan anggota ruang kerja harus merupakan pengguna RAM dari akun Alibaba Cloud tempat ruang kerja tersebut dimiliki. Anda dapat menggunakan kemampuan manajemen ruang kerja yang disediakan oleh DataWorks untuk menambahkan pengguna dan menetapkan peran kepada pengguna.
- Dalam proyek MaxCompute, akun Alibaba Cloud dapat menjadi pemilik atau anggota proyek. Pengguna RAM dari akun Alibaba Cloud juga dapat menjadi anggota proyek. Anda dapat menjalankan perintah add user xxx; untuk menambahkan pengguna, dan menjalankan perintah add role xxx; dan grant role xxx to user xxx; secara berurutan untuk menambahkan peran dan menetapkan peran kepada pengguna.
Gambar berikut menunjukkan hubungan antara pengguna dan izin dalam mode ruang kerja yang berbeda dan identitas pengunjung yang didukung.
Catatan
Untuk peran DataWorks, izin pada objek MaxCompute bersifat tetap. Setelah Anda memberikan izin pada objek MaxCompute kepada pengguna dengan menetapkan peran DataWorks dan memberikan izin MaxCompute lainnya kepada pengguna dengan menggunakan Antarmuka Baris Perintah (CLI), izin pengguna pada objek MaxCompute mungkin berbeda dari izin pengguna yang ditanyakan dari konsol DataWorks.