MaxCompute では、3 つの ID レイヤーが相互作用します。
Resource Access Management (RAM) レイヤー — Alibaba Cloud アカウントと RAM ID は、リソース購入、プロジェクト作成、およびアカウントレベルの操作を制御します。
MaxCompute プロジェクトレイヤー — 組み込みロールとカスタムロールは、プロジェクト内のデータアクセスと操作を制御します。
DataWorks レイヤー — DataWorks ワークスペースロールは、DataWorks コンソールでのコラボレーションを制御します。DataWorks と MaxCompute ロールの関係については、「MaxCompute と DataWorks 間の権限関係」をご参照ください。
これら 3 つのレイヤーを区別することで、一般的な混乱の原因を回避できます。RAM ロールはクラウドリソースアクセスを管理し、MaxCompute ロールはプロジェクト内のアクセスを管理し、DataWorks ロールはワークスペースコラボレーションを管理します。これらは相互に交換できません。
サポートされているユーザータイプとロール
ユーザータイプ
| ユーザータイプ | 説明 |
|---|
| Alibaba Cloud アカウント | Alibaba Cloud ウェブサイトで作成されたアカウントです。デフォルトでは、このアカウントのみが MaxCompute サービスを管理する権限を持っています。 |
| RAM ユーザー | Alibaba Cloud アカウントの下に作成されたサブ ID です。RAM ユーザーは、アカウントオーナーのデータ処理タスクを支援します。 |
| RAM ロール | ログインパスワードまたは AccessKey ペアを持たない仮想 ID です。RAM ロールは、信頼できるエンティティがそれを引き受けた後にのみ有効になります。 |
組み込みロール
MaxCompute は、異なる権限レベルを持つ 2 つの組み込み管理ロールを提供します。
| ロール | 説明 | 割り当て担当者 |
|---|
| Super_Administrator | すべてのプロジェクトリソースに対するすべての操作権限と管理者権限を付与します。 | プロジェクトオーナー、またはすでに Super_Administrator が割り当てられている任意のユーザー |
| Admin | 操作権限と基本的な管理者権限を付与します。 | プロジェクトオーナーのみ |
カスタムロール
カスタムロールは、ビジネス要件に基づいて定義する組み込みではないロールです。ロールを作成し、必要な権限を付与した後、ユーザーに割り当てます。DataWorks では、Role_ で始まる名前を使用してカスタムロールを定義できます。
操作と必要な権限
次の表は、各操作を実行できる ID と、必要なポリシーまたはロールを示しています。
「Alibaba Cloud アカウントを使用して権限付与を完了する」とは、RAM ユーザーまたは RAM ロールが操作を実行する前に、Alibaba Cloud アカウントによって必要な MaxCompute ロールを付与される必要があることを意味します。
サービスのアクティブ化とリソースの購入
| 操作 | ツール | Alibaba Cloud アカウント | RAM ユーザーまたは RAM ロール | RAM ユーザーまたは RAM ロールの要件 |
|---|
| MaxCompute サービスのアクティブ化、購入、更新、スペックアップ、スペックダウン。アカウントへのチャージ | MaxCompute コンソール (新バージョン)、MaxCompute 購入ページ | サポートされています | サポートされています | RAM ユーザー: AliyunDataWorksFullAccession および AliyunBSSOrderAccess システムポリシーをアタッチします。RAM ロール: AliyunDataWorksFullAccession および AliyunBSSOrderAccess システムポリシーをアタッチします。 |
プロジェクト管理
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | RAM ユーザーまたは RAM ロール | プロジェクト内の RAM ユーザーまたは RAM ロール | 要件 |
|---|
| プロジェクトの作成と削除 | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | 該当なし | CreateProject および DeleteProject ポリシーをアタッチします。 |
| デフォルトの計算クォータを変更する | MaxCompute コンソール (新バージョン) | プロジェクトオーナー | サポートされています | 該当なし | UpdateProjectDefaultQuota ポリシーをアタッチします。 |
| プロジェクトステータスを変更する | MaxCompute コンソール (新バージョン) | プロジェクトオーナー | サポートされています | 該当なし | UpdateProjectStatus ポリシーをアタッチします。 |
| IP アドレスホワイトリストを構成する | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | スーパー管理者; カスタムロール(プロジェクトのセキュリティ構成権限 | Alibaba Cloud アカウントを使用して権限付与を完了する |
| プロジェクトデータを保護する | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | Super_Administrator | Alibaba Cloud アカウントを使用して権限付与を完了する |
| フルテーブルをスキャンする | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | Super_Administrator | Alibaba Cloud アカウントを使用して権限付与を完了する |
| プロジェクトメンバーの追加、権限付与、管理 | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | Super_Administrator、プロジェクト管理権限 | Alibaba Cloud アカウントを使用して権限付与を完了する |
| プロジェクト間でデータにアクセスする | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | サポートされています | プロジェクト間アクセス権限を持つ組み込みロールとカスタムロール | Alibaba Cloud アカウントを使用して権限付与を完了する |
クォータ管理
| 操作 | ツール | Alibaba Cloud アカウント | RAM ユーザーまたは RAM ロール | 要件 |
|---|
| レベル 1 またはレベル 2 のクォータを変更する | MaxCompute コンソール (新バージョン) | サポートされています | サポートされています | [UpdateQuota] ポリシーをアタッチする |
| レベル 2 のカスタムクォータを作成する | MaxCompute コンソール (新バージョン) | サポートされています | サポートされています | UpdateSubQuotas ポリシーをアタッチします。 |
| クォータプランの作成、変更、削除 | MaxCompute コンソール (新バージョン) | サポートされています | サポートされています | CreateQuotaPlan、UpdateQuotaPlan、および DeleteQuotaPlan ポリシーをアタッチします。 |
| タイムプランの作成と変更 | MaxCompute コンソール (新バージョン) | サポートされています | サポートされています | createQuotaSchedule および UpdateQuotaSchedule ポリシーをアタッチします。 |
ジョブの O&M
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | プロジェクト内の RAM ユーザーまたは RAM ロール | 要件 |
|---|
| ジョブの表示、O&M の実行、および監視 | MaxCompute マネージャー | プロジェクトオーナー | Super_Administrator | Alibaba Cloud アカウントを使用して、RAM ユーザーに Super_Administrator ロールを割り当てます。 |
コード開発
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | プロジェクト内の RAM ユーザーまたは RAM ロール |
|---|
| Java ユーザー定義関数 (UDF) を開発する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | Java UDF 開発権限を持つ組み込みロールとカスタムロール |
| Python UDF を開発する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | Python UDF 開発権限を持つ組み込みロールとカスタムロール |
データ管理
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | プロジェクト内の RAM ユーザーまたは RAM ロール |
|---|
| テーブルリストを表示する | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | テーブルリスト表示権限を持つ組み込みロールとカスタムロール |
| テーブルを作成する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | テーブル作成権限を持つ組み込みロールとカスタムロール |
| テーブルを更新する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | テーブル更新権限を持つ組み込みロールとカスタムロール |
| テーブルを削除する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | テーブル削除権限を持つ組み込みロールとカスタムロール |
| アクセス制御リスト (ACL) を介して単一テーブルへのアクセスを許可する | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | 組み込みロールのみ |
| メタデータをプレビューする | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | メタデータ表示権限を持つ組み込みロールとカスタムロール |
| プロジェクト間でテーブルをプレビューする | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | プロジェクト間テーブル表示権限を持つ組み込みロールとカスタムロール |
リソース管理
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | プロジェクト内の RAM ユーザーまたは RAM ロール |
|---|
| リソースリストを表示する | MaxCompute コンソール (新バージョン)、MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | リソース表示権限を持つ組み込みロールとカスタムロール |
| リソースの作成と削除 | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | リソース作成および削除権限を持つ組み込みロールとカスタムロール |
| リソースをアップロードする | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | リソースアップロード権限を持つ組み込みロールとカスタムロール |
関数開発
| 操作 | ツール | Alibaba Cloud アカウント (ロール) | プロジェクト内の RAM ユーザーまたは RAM ロール |
|---|
| 関数リストと詳細を表示する | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | 関数表示権限を持つ組み込みロールとカスタムロール |
| 関数の作成と削除 | MaxCompute クライアント、MaxCompute Studio | プロジェクトオーナー | 関数作成および削除権限を持つ組み込みロールとカスタムロール |