Model izin untuk user, role, dan operasi - MaxCompute

MaxCompute menggunakan model izin berlapis yang didasarkan pada dua konsep: users (identitas) dan roles (kumpulan izin). Pemilik proyek secara default memiliki semua izin, sedangkan pengguna lain harus diberikan izin eksplisit terlebih dahulu sebelum dapat mengakses resource proyek apa pun.

Tiga lapisan identitas saling berinteraksi dalam MaxCompute:

Lapisan RAM — Akun Alibaba Cloud dan identitas RAM mengontrol pembelian resource, pembuatan proyek, serta operasi tingkat akun.
Lapisan proyek MaxCompute — Role bawaan dan kustom mengontrol akses data dan operasi dalam suatu proyek.
Lapisan DataWorks — Role ruang kerja DataWorks mengontrol kolaborasi di Konsol DataWorks. Untuk hubungan antara role DataWorks dan MaxCompute, lihat Hubungan izin antara MaxCompute dan DataWorks.

Memahami perbedaan ketiga lapisan ini membantu Anda menghindari kebingungan umum: role RAM mengelola akses resource cloud, role MaxCompute mengelola akses dalam proyek, dan role DataWorks mengelola kolaborasi ruang kerja. Ketiganya tidak saling menggantikan.

Jenis pengguna dan role yang didukung

Jenis pengguna

User type	Description
Alibaba Cloud account	Akun yang dibuat di website Alibaba Cloud. Secara default, hanya akun ini yang memiliki izin untuk mengelola layanan MaxCompute.
RAM user	Identitas sub-akun yang dibuat di bawah akun Alibaba Cloud. RAM user membantu pemilik akun dalam tugas pemrosesan data.
RAM role	Identitas virtual tanpa kata sandi logon atau Pasangan Kunci Akses. RAM role hanya berlaku setelah entitas tepercaya mengasumsikannya.

Role bawaan

MaxCompute menyediakan dua role manajemen bawaan dengan tingkat hak istimewa yang berbeda.

Role	Description	Who can assign it
Super_Administrator	Memberikan izin operasi penuh atas semua resource proyek ditambah hak istimewa administrator.	Pemilik proyek atau pengguna mana pun yang telah diberi Super_Administrator
Admin	Memberikan izin operasi dan hak istimewa administrator dasar.	Hanya pemilik proyek

Role kustom

Role kustom adalah role non-bawaan yang Anda definisikan sesuai kebutuhan bisnis. Setelah membuat role dan memberikan izin yang diperlukan, tetapkan role tersebut kepada pengguna. Di DataWorks, Anda dapat mendefinisikan role kustom menggunakan nama yang diawali dengan Role_.

Tugas izin umum

Task	Reference
Tambahkan pengguna ke proyek dan berikan izin	Perencanaan dan manajemen pengguna dan Izin MaxCompute
Tetapkan role bawaan kepada pengguna	Tetapkan role kepada pengguna
Buat role kustom dan tetapkan	Perencanaan role
Lihat izin pengguna atau role	Lihat izin

Operasi dan izin yang diperlukan

Tabel berikut menunjukkan identitas mana yang dapat melakukan setiap operasi serta kebijakan atau role yang diperlukan.

"Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi" berarti RAM user atau RAM role harus diberikan role MaxCompute yang diperlukan oleh akun Alibaba Cloud sebelum dapat melakukan operasi tersebut.

Aktivasi layanan dan pembelian resource

Operation	Tools	Alibaba Cloud account	RAM user or RAM role	Requirements for RAM user or RAM role
Aktifkan, beli, perpanjang, upgrade, downgrade layanan MaxCompute; isi ulang akun Anda	Konsol MaxCompute (versi baru), halaman pembelian MaxCompute	Didukung	Didukung	RAM user: Lampirkan kebijakan sistem AliyunDataWorksFullAccession dan AliyunBSSOrderAccess. RAM role: Lampirkan kebijakan sistem AliyunDataWorksFullAccession dan AliyunBSSOrderAccess.

Manajemen proyek

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role	RAM user or RAM role in a project	Requirements
Buat dan hapus proyek	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	N/A	Lampirkan kebijakan CreateProject dan DeleteProject
Ubah kuota perhitungan default	Konsol MaxCompute (versi baru)	Pemilik proyek	Didukung	N/A	Lampirkan kebijakan UpdateProjectDefaultQuota
Ubah status proyek	Konsol MaxCompute (versi baru)	Pemilik proyek	Didukung	N/A	Lampirkan kebijakan UpdateProjectStatus
Konfigurasikan daftar putih alamat IP	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	Super_Administrator; role kustom dengan izin konfigurasi keamanan proyek	Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi
Lindungi data proyek	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	Super_Administrator	Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi
Pindai seluruh tabel	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	Super_Administrator	Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi
Tambahkan, otorisasi, dan kelola anggota proyek	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	Super_Administrator; role kustom dengan izin manajemen proyek	Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi
Akses data lintas proyek	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Didukung	Role bawaan dan role kustom dengan izin akses lintas proyek	Gunakan akun Alibaba Cloud Anda untuk menyelesaikan otorisasi

Manajemen kuota

Operation	Tools	Alibaba Cloud account	RAM user or RAM role	Requirements
Ubah kuota level-1 atau level-2	Konsol MaxCompute (versi baru)	Didukung	Didukung	Lampirkan kebijakan UpdateQuota
Buat kuota kustom level-2	Konsol MaxCompute (versi baru)	Didukung	Didukung	Lampirkan kebijakan UpdateSubQuotas
Buat, ubah, dan hapus rencana kuota	Konsol MaxCompute (versi baru)	Didukung	Didukung	Lampirkan kebijakan CreateQuotaPlan, UpdateQuotaPlan, dan DeleteQuotaPlan
Buat dan ubah rencana waktu	Konsol MaxCompute (versi baru)	Didukung	Didukung	Lampirkan kebijakan createQuotaSchedule dan UpdateQuotaSchedule

O&M Pekerjaan

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role in a project	Requirements
Lihat, lakukan O&M, dan pantau pekerjaan	Manajemen MaxCompute	Pemilik proyek	Super_Administrator	Gunakan akun Alibaba Cloud Anda untuk menetapkan role Super_Administrator kepada RAM user

Pengembangan kode

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role in a project
Kembangkan user-defined function (UDF) Java	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pengembangan UDF Java
Kembangkan UDF Python	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pengembangan UDF Python

Manajemen data

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role in a project
Lihat daftar tabel	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin melihat daftar tabel
Buat tabel	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pembuatan tabel
Perbarui tabel	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pembaruan tabel
Hapus tabel	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin penghapusan tabel
Berikan akses ke satu tabel melalui daftar kontrol akses (ACL)	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Hanya role bawaan
Pratinjau metadata	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin melihat metadata
Pratinjau tabel lintas proyek	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin melihat tabel lintas proyek

Manajemen resource

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role in a project
Lihat daftar resource	Konsol MaxCompute (versi baru), klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin melihat resource
Buat dan hapus resource	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pembuatan dan penghapusan resource
Unggah resource	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pengunggahan resource

Pengembangan fungsi

Operation	Tools	Alibaba Cloud account (role)	RAM user or RAM role in a project
Lihat daftar dan detail fungsi	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin melihat fungsi
Buat dan hapus fungsi	Klien MaxCompute, MaxCompute Studio	Pemilik proyek	Role bawaan dan role kustom dengan izin pembuatan dan penghapusan fungsi

MaxCompute:Pengguna dan izin