MaxCompute mendukung tiga jenis identitas untuk otentikasi: Akun Alibaba Cloud, pengguna Resource Access Management (RAM), dan peran RAM.
Jangan gunakan Akun Alibaba Cloud Anda untuk operasi MaxCompute sehari-hari. Akun tersebut memiliki kendali tanpa batas atas semua sumber daya — kebocoran Pasangan Kunci Akses akan membahayakan seluruh aset. Gunakan pengguna RAM atau peran RAM untuk akses harian.
Pilih jenis identitas
Gunakan tabel berikut untuk memilih jenis identitas yang sesuai dengan skenario Anda.
| Jenis identitas | Kredensial | Skenario |
|---|---|---|
| Akun Alibaba Cloud | Login konsol atau Pasangan Kunci Akses | Hanya untuk penyiapan awal dan administrasi tingkat akun — bukan untuk penggunaan rutin |
| Pengguna RAM | Pasangan Kunci Akses atau login konsol | Anggota tim manusia yang memerlukan akses persisten dengan cakupan izin tertentu |
| Peran RAM | Token Security Token Service (STS) | Beban kerja otomatis, akses lintas layanan, dan Single Sign-On (SSO) perusahaan |
Gunakan Akun Alibaba Cloud
Pemilik Akun Alibaba Cloud memiliki kendali operasional penuh atas semua sumber daya di bawah akun tersebut.
Akses konsol
Login ke atau konsol DataWorks menggunakan Akun Alibaba Cloud Anda. Dari konsol, Anda dapat mengaktifkan MaxCompute, membuat proyek, mengelola data, mengelola pengguna, dan menganalisis data.
Akses programatik
Opsional: Jika Anda belum memiliki Pasangan Kunci Akses, buat Akun Alibaba Cloud, lengkapi verifikasi akun, lalu buat Pasangan Kunci Akses. Lihat verifikasi identitasBuat Akun Alibaba Cloud.
Pasangan Kunci Akses terdiri dari ID AccessKey dan Rahasia AccessKey. ID AccessKey digunakan untuk mengidentifikasi Pasangan Kunci Akses, sedangkan Rahasia AccessKey digunakan untuk menghitung signature permintaan. Simpan kedua nilai ini secara rahasia. Untuk memperbarui pasangan tersebut, buat pasangan baru lalu nonaktifkan pasangan lama. Diperlukan waktu sekitar 15 menit agar Pasangan Kunci Akses berlaku setelah diaktifkan atau dinonaktifkan.
Gunakan salah satu metode berikut:
| Metode | Cara |
|---|---|
| Klien MaxCompute (odpscmd) | Konfigurasikan Pasangan Kunci Akses di odps_config.ini, lalu hubungkan. Lihat Instal dan konfigurasikan klien MaxCompute. |
| SDK | Gunakan Pasangan Kunci Akses dengan SDK untuk Java atau SDK untuk Python. |
Gunakan pengguna RAM
Pengguna RAM adalah identitas yang dibuat di bawah Akun Alibaba Cloud Anda. Tetapkan pengguna RAM kepada anggota tim yang memerlukan akses berkelanjutan ke MaxCompute dengan cakupan izin tertentu.
Secara default, proyek MaxCompute hanya mengenali sistem akun Alibaba Cloud. Untuk mengizinkan pengguna RAM mengakses proyek, aktifkan terlebih dahulu sistem akun RAM untuk proyek tersebut.
Saat MaxCompute melakukan otentikasi terhadap pengguna RAM, sistem memverifikasi identitas pengguna tetapi tidak menegakkan definisi izin yang dikonfigurasi di RAM. Proyek MaxCompute hanya mengenali identitas dari sistem akun RAM, bukan izin RAM aslinya.
Langkah 1: Aktifkan sistem akun RAM (Opsional)
Jika sistem akun RAM belum diaktifkan untuk proyek MaxCompute Anda, lakukan langkah-langkah berikut:
Login ke klien MaxCompute (odpscmd).
Jalankan perintah berikut untuk menambahkan sistem akun RAM:
add accountprovider ram;Konfirmasi bahwa sistem akun RAM telah aktif: Output harus mencantumkan
ram.list accountproviders;
Langkah 2: Buat pengguna RAM dan tambahkan ke proyek
Buat pengguna RAM dan berikan izin yang diperlukan. Lihat Siapkan pengguna RAM.
Tambahkan pengguna RAM ke proyek MaxCompute dan tetapkan role. Lihat Tambahkan anggota ruang kerja dan tetapkan role kepada mereka.
Gunakan peran RAM
Peran RAM adalah identitas virtual dalam Akun Alibaba Cloud Anda. Berbeda dengan pengguna RAM, peran RAM tidak memiliki akun, kata sandi logon, maupun Pasangan Kunci Akses. Entitas tepercaya mengasumsikan peran tersebut dan menerima token STS sementara untuk otentikasi.
Peran RAM cocok untuk dua skenario:
SSO berbasis peran: Alibaba Cloud bertindak sebagai penyedia layanan (SP) dan sistem manajemen identitas perusahaan bertindak sebagai penyedia identitas (IdP). Karyawan login ke Alibaba Cloud menggunakan peran RAM tertentu. Perusahaan mengelola pengguna di IdP lokal tanpa menyinkronkannya ke Alibaba Cloud.
Akses lintas layanan: Berikan kemampuan kepada layanan Alibaba Cloud tepercaya untuk mengakses MaxCompute dengan mengasumsikan peran RAM. MaxCompute mengelola izin peran tersebut dengan cara yang sama seperti mengelola izin pengguna RAM — termasuk izin untuk membuat objek data, menjalankan pekerjaan, menulis data, dan membaca data.
Siapkan akses peran RAM
Buat peran RAM dan definisikan kebijakan kepercayaannya. Pilih panduan berdasarkan entitas tepercaya Anda: Untuk mengedit kebijakan kepercayaan setelah pembuatan, lihat Edit kebijakan kepercayaan peran RAM.
Tambahkan peran RAM ke proyek MaxCompute. Lihat Tambahkan peran RAM (tingkat proyek).
Konfigurasikan entitas tepercaya untuk mengasumsikan peran dan mengakses MaxCompute menggunakan token STS. Lihat Ikhtisar.
Langkah selanjutnya
Siapkan pengguna RAM — buat dan konfigurasikan pengguna RAM untuk akses MaxCompute
Buat Akun Alibaba Cloud — jika Anda belum memiliki akun
Instal dan konfigurasikan klien MaxCompute — siapkan odpscmd untuk akses programatik