Untuk memungkinkan beberapa pengguna berkolaborasi dalam proyek MaxCompute, tambahkan mereka ke proyek tersebut dan berikan izin yang relevan. Hanya pengguna yang telah ditambahkan ke proyek yang dapat diberikan akses ke tabel, resource, fungsi, dan instans pekerjaan (job instances)-nya.
Secara default, hanya Pemilik proyek dan pengguna dengan role bawaan MaxCompute yang dapat mengakses proyek tersebut.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Proyek MaxCompute
Akses sebagai Pemilik proyek atau penugasan role bawaan MaxCompute
Jenis pengguna yang didukung
MaxCompute mendukung tiga jenis identitas di tingkat proyek:
| Type | Kapan digunakan |
|---|---|
| Alibaba Cloud account | Berikan akses ke akun Alibaba Cloud lain — biasanya tim rekan atau kolaborator eksternal yang memiliki akun Alibaba Cloud sendiri. |
| RAM user | Berikan akses ke sub-pengguna di bawah akun Alibaba Cloud Anda sendiri — biasanya developer atau operator di tim Anda. |
| RAM role | Berikan akses ke role Resource Access Management (RAM) — berguna untuk akses antar layanan (service-to-service), seperti mengirimkan pekerjaan penjadwalan berkala dari DataWorks. |
RAM role yang ditambahkan di sini adalah role yang didefinisikan di Konsol RAM, bukan role bawaan atau kustom MaxCompute. Untuk informasi lebih lanjut tentang role MaxCompute, lihat Role planning.
MaxCompute mengenali sistem akun RAM tetapi tidak mengenali sistem izin RAM. Setelah RAM user ditambahkan ke proyek, MaxCompute melakukan autentikasi terhadap mereka tetapi tidak menerapkan definisi izin dari RAM.
Operasi
Pemilik proyek atau pengguna dengan role bawaan MaxCompute dapat menjalankan perintah SQL berikut menggunakan MaxCompute client, MaxCompute Studio, atau Konsol DataWorks.
| Operasi | Deskripsi |
|---|---|
| Tambahkan Alibaba Cloud account | Menambahkan akun Alibaba Cloud lain ke proyek |
| Hapus Alibaba Cloud account | Menghapus akun Alibaba Cloud dari proyek |
| Tambahkan Pengguna RAM | Menambahkan RAM user ke proyek |
| Hapus RAM user | Menghapus RAM user dari proyek |
| Tambahkan RAM role | Menambahkan RAM role ke proyek |
| Hapus RAM role | Menghapus RAM role dari proyek |
| Daftar pengguna | Menampilkan semua pengguna yang telah ditambahkan ke proyek |
Saat Anda menghapus pengguna, izin mereka tetap dipertahankan. Jika pengguna tersebut ditambahkan kembali ke proyek di kemudian hari, izin tersebut akan diaktifkan ulang. Untuk menghapus izin sisa, lihat Manage user permissions by using commands.
Kategori Pengguna | Jenis Pengguna | Operasi | Deskripsi | Role operator | Portal operasi |
Tingkat proyek (Project) | Alibaba Cloud account | Tambahkan akun Alibaba Cloud lain ke proyek MaxCompute. | Pemilik proyek atau pengguna yang ditugaskan role bawaan MaxCompute. | ||
Hapus akun Alibaba Cloud yang telah ditambahkan ke proyek MaxCompute. | |||||
RAM user | Tambahkan RAM user dari akun Alibaba Cloud tempat proyek MaxCompute berada ke proyek tersebut. | ||||
Hapus RAM user yang telah ditambahkan ke proyek MaxCompute. | |||||
RAM role | Tambahkan RAM role yang dibuat di Konsol Resource Access Management (RAM) ke proyek MaxCompute. | ||||
Hapus RAM role yang telah ditambahkan ke proyek MaxCompute. | |||||
Lihat pengguna yang telah ditambahkan ke proyek MaxCompute. | |||||
Tambahkan Alibaba Cloud account
Sintaks
remove user ALIYUN$<account_id>;Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Ya | Identifikasi akun Alibaba Cloud tempat RAM role tersebut berada. Jika sakelar Use Account ID di properti tenant diaktifkan, akun menggunakan ID. Jika tidak, akun menggunakan nama login. Contohnya, |
account_id | Tidak | Identifikasi akun Alibaba Cloud tempat RAM user tersebut berada. Jika sakelar Use Account ID di properti tenant diaktifkan, akun menggunakan ID. Jika tidak, akun menggunakan nama login. Contohnya, |
RAM_user_UID | Ya | UID RAM user. Login ke Konsol RAM. Di panel navigasi sebelah kiri, pilih . Klik pengguna yang dituju. Di bagian Basic Information, Anda dapat memperoleh UID tersebut. |
account_id | Ya | Identifikasi akun Alibaba Cloud. Jika sakelar Use Account ID di properti tenant diaktifkan, akun menggunakan ID. Jika tidak, akun menggunakan nama login. Contohnya, Anda dapat menjalankan perintah |
account_id | Ya | Identifikasi akun Alibaba Cloud. Jika sakelar Use Account ID di properti tenant diaktifkan, akun menggunakan ID. Jika tidak, akun menggunakan nama login. Contohnya, |
account_id | Ya | ID akun Alibaba Cloud, seperti 5527xxxxxxxx5788 (ID dari odps_test_user@aliyun.com). |
Contoh
Tambahkan akun Alibaba Cloud odps_test_user@aliyun.com (ID: 5527xxxxxxxx5788) ke proyek test_project_a:
Saat "Use Account ID" diaktifkan
Saat "Use Account ID" diaktifkan
add user ALIYUN$5527xxxxxxxx5788;Saat "Use Account ID" dinonaktifkan
Saat "Use Account ID" dinonaktifkan
Saat "Use Account ID" dinonaktifkan
Hapus Alibaba Cloud account
Sintaks
remove user ALIYUN$<account_id>;Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Ya | ID akun Alibaba Cloud. Jalankan list users; di MaxCompute client untuk mendapatkan ID tersebut. |
Jika akun tersebut memiliki role yang ditugaskan, cabut role tersebut sebelum menghapus akun. Jika tidak, informasi role sisa akan tetap ada di proyek. Untuk memeriksa role apa saja yang ditugaskan, lihat Query permissions. Untuk mencabut role, lihat Revoke a role from a user.
Contoh
Contoh 1: Hapus odps_test_user@aliyun.com (tanpa role yang ditugaskan):
Saat "Use Account ID" diaktifkan
Saat "Use Account ID" diaktifkan
remove user ALIYUN$5527xxxxxxxx5788;Saat "Use Account ID" dinonaktifkan
Saat "Use Account ID" dinonaktifkan
Contoh 2: Hapus odps_test_user@aliyun.com (role Worker ditugaskan):
-- Revoke the Worker role first.
revoke Worker from ALIYUN$5527xxxxxxxx5788;
-- Then remove the user.
remove user ALIYUN$5527xxxxxxxx5788;Tambahkan RAM user
Sintaks
remove user `RAM$<account_id>:role/<RAM_role_name>`;add user RAM$[<account_id>:]<RAM user UID>;Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Tidak | ID akun Alibaba Cloud yang memiliki RAM user tersebut, seperti 5527xxxxxxxx5788. |
RAM user UID | Ya | UID RAM user. Untuk mendapatkan UID, login ke Konsol RAM, buka Identities > Users, klik nama login RAM user tersebut, lalu lihat UID di bagian Basic Information. |
Batasan
Hanya RAM user yang berasal dari akun Alibaba Cloud Anda sendiri yang dapat ditambahkan secara langsung. Untuk menambahkan RAM user dari akun Alibaba Cloud lain, pertama-tama tambahkan akun tersebut ke proyek (lihat Add an Alibaba Cloud account), lalu login dengan akun tersebut dan tambahkan RAM user-nya.
Proyek harus mendukung sistem akun RAM. Jalankan
list accountproviders;untuk memeriksa. JikaRAMtidak tercantum, jalankanadd accountprovider ram;untuk mengaktifkannya.
Contoh
Tambahkan RAM user ram_test (UID: 2763xxxxxxxxxx1649) di bawah akun 5527xxxxxxxx5788 ke proyek test_project_a:
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;Saat "Use Account ID" dinonaktifkan
Hapus RAM user
Sintaks
remove user RAM$[<account_id>:]<RAM user UID>;Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Tidak | ID akun Alibaba Cloud yang memiliki RAM user tersebut, seperti 5527xxxxxxxx5788. |
RAM user UID | Ya | UID Pengguna RAM. Untuk mendapatkan UID, masuk ke Konsol RAM, buka Identities > Users, klik nama logon Pengguna RAM, lalu lihat UID pada bagian Basic Information. |
Jika RAM user memiliki role yang ditugaskan, cabut role tersebut sebelum menghapus pengguna. Jika langkah ini dilewati, entri p4_xxxxxxxxxxxxxxxxxxxx akan tetap ada di proyek dan tidak dapat dihapus — meskipun proyek tetap berfungsi normal. Untuk memeriksa role apa saja yang ditugaskan, lihat Query permissions. Untuk mencabut role, lihat Revoke a role from a user.
Contoh
Contoh 1: Hapus RAM user dengan UID 2763xxxxxxxxxx1649 di bawah akun 5527xxxxxxxx5788 (tanpa role yang ditugaskan):
remove user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;Contoh 2: Hapus RAM user yang sama (role Worker ditugaskan):
-- Revoke the Worker role first.
revoke Worker from RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
-- Then remove the RAM user.
remove user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
-- Remove the RAM account provider if you no longer use RAM users.
remove accountprovider ram;Tambahkan RAM role
Sintaks
Tanda backtick (` ``) dalam perintah ini wajib digunakan.Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Ya | ID akun Alibaba Cloud yang memiliki RAM role tersebut, seperti 5527xxxxxxxx5788. |
RAM role name | Ya | Nama RAM role. Untuk mendapatkan nama tersebut, login ke Konsol RAM, buka Identities > Roles, lalu lihat nama role di halaman Roles. |
Contoh
Tambahkan RAM role ram_role ke proyek test_project_a:
add user `RAM$5527xxxxxxxx5788:role/ram_role`;Operasi selanjutnya perlu dilakukan di DataWorks. Anda harus menetapkan RAM role tersebut ke DataWorks saat mengubah kebijakan (policy) yang disambungkan ke RAM role tersebut. Dengan demikian, Anda dapat mengirimkan pekerjaan penjadwalan berkala ke MaxCompute melalui DataWorks.
Hapus RAM role
Sintaks
remove user `RAM$<account_id>:role/<RAM role name>`;Tanda backtick (` ``) dalam perintah ini wajib digunakan.Parameter
| Parameter | Wajib | Deskripsi |
|---|---|---|
account_id | Ya | ID akun Alibaba Cloud yang memiliki RAM role tersebut, seperti 5527xxxxxxxx5788. |
RAM role name | Ya | Nama RAM role. Untuk mendapatkan nama tersebut, login ke Konsol RAM, buka Identities > Roles, lalu lihat nama role di halaman Roles. |
Contoh
Hapus RAM role ram_role dari proyek test_project_a:
remove user `RAM$5527xxxxxxxx5788:role/ram_role`;Daftar pengguna
Jalankan perintah berikut untuk melihat semua pengguna yang telah ditambahkan ke proyek MaxCompute:
list users;Contoh output:
ALIYUN$5527xxxxxxxx5788
RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649
RAM$5527xxxxxxxx5788:role/ram_roleSaat "Use Account ID" dinonaktifkan
Langkah berikutnya
Setelah menambahkan pengguna, berikan izin kepada mereka sesuai kebutuhan bisnis Anda. Lihat Manage user permissions by using commands.