：專案層級租戶資源存取控制

使用說明

對於租戶對象是否有權被專案使用，以及在專案中使用許可權的再分配，有如下兩種安全管理員模式：

• 模式一：開啟專案層級租戶資源存取控制

  說明

  目前此功能僅提供預覽，暫不支援開啟檢查。

  租戶資源建立者可以通過設定資源與專案的掛載關係，指定哪些專案可以使用其建立的資源，再由專案系統管理員通過授權方案對專案內部的使用者授予使用資源的許可權。

  開啟專案層級租戶資源存取控制，即可以指定某些專案是否能夠使用資源管理者的租戶對象。使用者可以按照安全管理能力要求決定使用哪種模式。目前暫無租用戶系統管理員強制所有專案都開啟專案層級租戶資源存取控制的開關，如果需要，請通過工單聯絡MaxCompute支援人員。

  重要

  所有的租戶資來源物件，一起受專案層級租戶資源存取控制開關的控制，開啟開關則對所有租戶資源的所有對象進行許可權檢查。

• 模式二：不開啟專案層級租戶資源存取控制

  任何專案內有許可權運行任務的使用者，都可以使用任務相關的租戶資源。

開啟專案層級租戶資源存取控制

開啟專案層級租戶資源存取控制，需要執行如下操作：

1. 進行租戶對象與專案的掛載關係配置。

   單擊租戶對象（例如外部資料源）操作列的掛載專案，選擇掛載的專案，單擊確定，完成掛載關係的配置。

   掛載完成的租戶對象查看方法：

   1. 登入MaxCompute控制台，在左上方選擇地區。

   2. 單擊目標Project操作列的管理。

   3. 在參數配置頁簽的許可權屬性地區，單擊查看專案綁定租戶資源，即可查看專案與網路連接、外部資料源、鏡像及配額組的綁定情況。

2. 對於已掛載到專案上的租戶對象，進行Policy配置。詳情請參見Policy許可權控制。

   1. 在MaxCompute控制台的左側導覽列選擇工作區 > 專案管理，單擊目標Project操作列的管理。

   2. 在專案配置頁面的角色許可權頁簽，單擊目標角色操作列的編輯角色。

   3. 在編輯角色對話方塊中，選擇授權方式為Policy。

   4. 在Policy授權指令碼框中修改角色Policy。

      樣本：以計算Quota為例，專案project_a內配置使用者a可以使用Quota 500 CU的Policy如下：

      {
          "Statement":[
              {
                  "Action":[
                      "odps:Usage"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                      "acs:odps:*:regions/*/quotas/500cu"
                  ]
              }
          ],
          "Version":"1"
      }

      當使用者a具有project_a內租戶資源使用許可權後，才可以在開啟專案層級租戶資源存取控制模式下，進行使用者/角色粒度的租戶資源使用許可權控制。

3. 專案開啟租戶對象檢查開關（即開啟專案層級租戶資源存取控制）。

   說明

   目前此功能僅提供預覽，暫不支援開啟檢查。

   1. 在MaxCompute控制台的工作區 > 專案管理頁面，單擊目標Project操作列的管理。

   2. 在參數配置頁簽的許可權屬性地區，單擊編輯。

   3. 開啟開啟專案層級租戶資源存取控制開關，並單擊提交。

      重要

      開啟後，專案將立即對正在使用和後續使用的租戶對象（包括外部資料源、網路連接、自訂鏡像、配額組）進行使用許可權校正。因此在沒有完全完成租戶對象與專案的掛載關係配置，以及Policy授權之前，請勿輕易開啟檢查開關。許可權缺失可能會造成依賴許可權的任務失敗。

相關文檔

更多租戶資源的資訊請參見：

• 外部資料源

• 網路連接

• 配額組