Anda dapat menggunakan peran untuk memberikan set izin yang sama kepada beberapa pengguna. Peran adalah kumpulan izin yang membantu menyederhanakan proses otorisasi dan mengurangi biaya manajemen izin. Jika Anda ingin memberikan set izin yang sama kepada beberapa pengguna, gunakan otorisasi berbasis peran. Topik ini menjelaskan jenis-jenis peran yang didukung oleh MaxCompute serta operasi yang dapat dilakukan pada berbagai jenis peran.
Jenis-jenis Peran
MaxCompute menyediakan dua jenis peran: administrator dan sumber daya.
Peran Administrator: Izin terkait manajemen diberikan melalui kebijakan, bukan daftar kontrol akses (ACL). Peran ini tidak mendapatkan izin terkait sumber daya.
Peran Sumber Daya: Dapat diberikan izin terkait sumber daya tetapi tidak izin terkait manajemen.
Peran Bawaan
MaxCompute menyediakan dua peran administrator bawaan, Super_Administrator dan Admin, baik di tingkat proyek maupun penyewa.
Tingkat Peran | Nama Peran | Jenis Peran | Deskripsi Peran |
Tingkat Proyek | Super_Administrator | Administrator | Sebuah peran administrator bawaan yang disediakan oleh MaxCompute. Peran ini memiliki izin operasi pada semua sumber daya dalam proyek dan semua izin manajemen. Untuk informasi lebih lanjut tentang izin, lihat Izin peran administrator tingkat proyek. Pemilik proyek atau pengguna yang diberi peran Super_Administrator dapat memberikan peran Super_Administrator kepada pengguna lain. |
Admin | Administrator | Sebuah peran administrator bawaan yang disediakan oleh MaxCompute. Peran ini memiliki izin operasi pada semua sumber daya dalam proyek dan beberapa izin manajemen dasar. Untuk informasi lebih lanjut tentang izin, lihat Izin peran administrator tingkat proyek. Pemilik proyek dapat memberikan peran Admin kepada pengguna lain dalam proyek. Pengguna yang diberi peran Admin tidak dapat memberikan peran Admin kepada pengguna lain, mengonfigurasi kebijakan keamanan untuk proyek, memodifikasi model autentikasi proyek, atau memodifikasi izin peran Admin. | |
Tingkat Penyewa | Super_Administrator | Administrator | Sebuah peran administrator bawaan yang disediakan oleh MaxCompute. Peran ini memiliki semua izin yang dimiliki akun Alibaba Cloud pada MaxCompute, kecuali izin untuk membuat proyek, menghapus proyek, dan mengaktifkan layanan MaxCompute. |
Admin | Administrator | Sebuah peran administrator bawaan yang disediakan oleh MaxCompute. Peran ini memiliki izin untuk mengelola semua objek dan koneksi jaringan. |
Pemilik proyek memiliki semua izin pada proyek yang mereka buat. Hanya pemilik proyek yang dapat mengakses objek dalam proyek tersebut. Pengguna lain memerlukan izin dari pemilik proyek untuk mengakses objek tersebut.
Peran Kustom
MaxCompute memungkinkan Anda menyesuaikan peran administrator dan sumber daya sesuai dengan kebutuhan bisnis, serta mengklasifikasikan dan mengelola pengguna berdasarkan peran.
Tingkat Peran | Nama Peran | Jenis Peran | Deskripsi Peran |
Tingkat Proyek | Peran Kustom | Administrator dan sumber daya | Sebuah peran kustom dari MaxCompute. Anda dapat menyesuaikan peran administrator dan memberikan izin manajemen pada proyek kepada peran ini. Anda juga dapat menyesuaikan peran sumber daya dan memberikan izin pada sumber daya objek dalam proyek kepada peran ini. |
Tingkat Penyewa | Peran Kustom | Sumber daya | Sebuah peran kustom dari MaxCompute. Anda dapat menyesuaikan peran sumber daya dan memberikan izin pada sumber daya objek seperti kuota, tautan jaringan, dan proyek kepada peran sumber daya ini. |
Operasi Manajemen Peran
Tabel berikut menjelaskan operasi manajemen peran yang didukung oleh MaxCompute.
Tingkat Peran | Bab | Operasi | Dilakukan oleh | Platform Operasi |
Tingkat Proyek | Buat peran tingkat proyek. | Pemilik proyek atau pengguna yang diberi peran bawaan tingkat proyek | ||
Kueri peran dalam proyek. | ||||
Hapus peran dalam proyek. |
Izin Peran Administrator Tingkat Proyek
Tabel berikut menjelaskan izin peran administrator tingkat proyek.
Jenis Izin | Objek | Operasi | Deskripsi | Pemilik Proyek | Super_Administrator | Admin |
Konfigurasi Keamanan Proyek | Proyek | SetSecurityConfiguration | Konfigurasikan pengaturan keamanan untuk proyek. |
|
|
|
Proyek | GetSecurityConfiguration | Kueri pengaturan keamanan proyek. |
|
|
| |
Manajemen Proyek Terlindungi | Proyek | AddTrustedProject | Tambahkan proyek terlindungi. |
|
|
|
Proyek | RemoveTrustedProject | Hapus proyek terlindungi. |
|
|
| |
Proyek | ListTrustedProjects | Kueri proyek terlindungi. |
|
|
| |
Manajemen Pengguna | Proyek | AddUser | Tambahkan pengguna. |
|
|
|
Proyek | RemoveUser | Hapus pengguna. |
|
|
| |
Proyek | ListUsers | Kueri pengguna. |
|
|
| |
Proyek | ListUserRoles | Kueri peran yang ditetapkan kepada pengguna. |
|
|
| |
Manajemen Peran | Proyek | CreateRole | Buat peran. |
|
|
|
Proyek | DescribeRole | Lihat izin peran. |
|
|
| |
Proyek | AlterRole | Ubah atribut peran. |
|
|
| |
Proyek | DropRole | Hapus peran. |
|
|
| |
Proyek | ListRoles | Kueri peran. |
|
|
| |
Manajemen Izin Menggunakan Peran | Peran | GrantRole | Tetapkan peran kepada pengguna. |
|
|
|
Peran | RevokeRole | Cabut peran dari pengguna. |
|
|
| |
Peran | ListRolePrincipals | Kueri pengguna yang diberi peran tertentu. |
|
|
| |
Manajemen Paket | Proyek | CreatePackage | Buat paket. |
|
|
|
Proyek | ShowPackages | Lihat paket. |
|
|
| |
Paket | DescribePackage | Lihat detail paket. |
|
|
| |
Paket | DropPackage | Hapus paket. |
|
|
| |
Paket | InstallPackage | Instal paket. |
|
|
| |
Paket | UninstallPackage | Copot instalasi paket. |
|
|
| |
Paket | AllowInstallPackage | Mengizinkan paket untuk diinstal dan digunakan di proyek lain. |
|
|
| |
Paket | DisallowInstallPackage | Mencabut izin untuk paket agar dapat diinstal dan digunakan di proyek lain. |
|
|
| |
Paket | AddPackageResource | Tambahkan sumber daya ke paket. |
|
|
| |
Paket | RemovePackageResource | Hapus sumber daya dari paket. |
|
|
| |
Manajemen Label | Tabel | GrantLabel | Berikan izin kepada peran atau pengguna menggunakan label. |
|
|
|
Tabel | RevokeLabel | Cabut izin yang diberikan menggunakan label dari peran atau pengguna. |
|
|
| |
Tabel | ShowLabelGrants | Kueri izin yang diberikan kepada peran atau pengguna menggunakan label. |
|
|
| |
Tabel | SetDataLabel | Konfigurasikan label untuk peran atau pengguna. |
|
|
| |
Pembersihan Izin Kedaluwarsa | Proyek | ClearExpiredGrants | Bersihkan informasi tentang izin kedaluwarsa. |
|
|
|
Dalam tabel di atas, 
menunjukkan bahwa peran memiliki izin tersebut, sedangkan 
menunjukkan bahwa peran tidak memiliki izin tersebut.
Buat Peran Tingkat Proyek
Anda dapat membuat peran di proyek MaxCompute.
Setelah membuat peran, tetapkan peran tersebut kepada pengguna yang ingin Anda beri izin. Pengguna tersebut kemudian akan memiliki izin peran tersebut. Untuk detail lebih lanjut, lihat Tetapkan peran kepada pengguna.
Sintaksis
create role <role_name> [privilegeproperties("type"="admin|resource")];Parameter
Parameter
Wajib
Deskripsi
role_name
Ya
Nama peran yang ingin Anda buat. Nama tersebut harus unik di dalam proyek. Saat menentukan nama untuk peran, perhatikan hal-hal berikut:
Nama harus dimulai dengan huruf.
Nama hanya dapat berisi huruf dan angka.
Nama harus memiliki panjang 1 hingga 64 karakter.
Anda dapat menjalankan perintah
list roles;di Klien MaxCompute untuk menanyakan peran yang ada di proyek.privilegeproperties
Tidak
Jenis peran yang ingin Anda buat.
"type"="admin": Peran administrator dibuat. Anda hanya dapat memberikan izin kepada jenis peran ini menggunakan kebijakan."type"="resource": Peran sumber daya dibuat. Jika Anda tidak menentukan parameter ini, peran sumber daya dibuat secara default. Anda dapat memberikan izin kepada peran sumber daya menggunakan ACL atau kebijakan.
Contoh
Buat peran sumber daya bernama Worker. Contoh pernyataan:
create role Worker;Buat peran administrator bernama sale_admin. Contoh pernyataan:
create role sale_admin privilegeproperties("type"="admin");
Kueri Peran Tingkat Proyek
Anda dapat menanyakan peran yang ada di proyek MaxCompute.
Sintaksis
list roles;Contoh
Menanyakan peran yang ada di proyek MaxCompute. Contoh pernyataan:
list roles;Hasil berikut dikembalikan:
admin super_administrator worker
Hapus Peran Tingkat Proyek
Anda dapat menghapus peran dari proyek MaxCompute.
Sintaksis
drop role <role_name>;Perhatian
Saat menghapus peran, MaxCompute memeriksa apakah peran tersebut ditetapkan kepada pengguna. Jika peran tersebut masih ditetapkan kepada pengguna, peran tersebut tidak dapat dihapus. Anda harus mencabut peran tersebut dari semua pengguna sebelum menghapusnya. Untuk informasi lebih lanjut tentang cara mencabut peran dari pengguna, lihat Cabut peran dari pengguna.
Parameter
Parameter
Wajib
Deskripsi
role_name
Ya
Nama peran yang ingin Anda hapus.
Anda dapat menjalankan perintah
list roles;di Klien MaxCompute untuk menanyakan peran yang ada di proyek.Contoh
Hapus peran Worker.
drop role Worker;
Hapus Izin Peran
Setelah peran dihapus dari proyek MaxCompute, izin peran tersebut seperti izin terkait ACL, kebijakan, dan label tidak otomatis dihapus dari proyek. Jika peran baru dengan nama yang sama dibuat, peran tersebut mewarisi izin peran yang dihapus. Untuk mengatasi masalah ini, MaxCompute memungkinkan Anda menghapus izin peran secara manual. Pemilik proyek atau pengguna dengan peran Admin atau Super_Administrator dapat menghapus izin peran. Contoh perintah:
Sintaksis
purge privs from role <role_name>;Parameter
Parameter
Wajib
Deskripsi
role_name
Ya
Nama peran yang ingin Anda hapus.
Anda dapat menjalankan perintah
list roles;di Klien MaxCompute untuk menanyakan peran yang ada di proyek.nullPastikan peran telah dihapus sebelum menghapus izinnya. Jika peran belum dihapus, pesan kesalahan
"Principal <role_name> still exist in the project"akan muncul saat menjalankan perintah purge privs from role <role_name>;.
Apa yang Harus Dilakukan Selanjutnya
Setelah merencanakan dan membuat peran, berikan izin yang diperlukan sesuai dengan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Lakukan kontrol akses berdasarkan peran tingkat proyek.
Setelah membuat peran, tetapkan peran tersebut kepada pengguna yang ingin Anda beri izin. Pengguna tersebut kemudian akan memiliki izin peran tersebut. Untuk informasi lebih lanjut, lihat Tetapkan peran kepada pengguna.