本文介紹租戶層級角色授權流程、許可權命令和管理租戶許可權,在租戶層級實現對Quota、NetworkLink等對象的許可權控制。
背景資訊
當前MaxCompute的Project、Table、Function、Resource、Instance等對象的操作許可權都是Project層級,使用者需要添加到Project中再進行授權管理。本文將介紹Quota和NetworkLink對象的Action通過Policy方式授權給租戶角色。
適用範圍
僅阿里雲帳號或者具備租戶層級Super_Administrator和Admin角色的使用者可操作租戶層級許可權管理。
租戶層級許可權只能通過租戶角色(Role)進行許可權控制。
租戶角色(Role)的許可權範圍只能通過Policy方式授予。
租戶層級角色授權流程
建立租戶角色t_role1。
通過Policy方式給租戶角色t_role1授權。
將使用者添加為租戶成員。
將租戶角色t_role1授權給使用者。
相關租戶層級許可權命令
-- 以下命令可在本租戶內可執行檔project裡發起。
-- 添加/刪除user到租戶。
ADD tenant USER <user_name>;
REMOVE tenant USER <user_name>;
-- 查看租戶中的users、roles。
List tenant users;
List tenant roles;
-- 建立/刪除租戶層級role。
CREATE tenant role <role_name>;
DROP tenant role <role_name>;
-- 將租戶role授權/移除user。
GRANT tenant role <rolename> TO USER <user_name>;
REVOKE tenant role <rolename> FROM USER <user_name>;
-- 將租戶role加入/刪除到project。
ADD tenant role <rolename> TO project <projectname>;
REMOVE tenant role <rolename> FROM project <projectname>;
-- 查看租戶role/user的許可權。
SHOW grants FOR tenant role <role_name>;
SHOW grants FOR tenant USER <user_name>;
SHOW principals FOR tenant [role] <role_name>;
通過MaxCompute控制台管理租戶許可權
新增租戶角色
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列,選擇 。
在租户管理頁面,單擊角色管理頁簽。
在角色管理頁簽,單擊新增角色,在彈出的新增角色對話方塊,填寫自訂角色名称和policy内容,然後單擊確定完成建立。
參數名稱
說明
角色名称
建立賬戶層級角色的名稱。在阿里雲帳號內唯一。命名需要滿足如下要求:
以字母開頭。
只能包含字母、底線(_)或數字。
長度為6~64個字元。
policy内容
角色的權限原則。在介面上根據原則範本編輯策略代碼。
policy內容樣本,下述樣本表示:
對於
networklink對象表示允許該角色對所有networklinks具備CreateNetworkLink、List和Execute操作許可權。對於
Quota對象表示允許該角色對所有Region下所有Quota具備Usage許可權。
{ "Statement":[ { "Action":[ "odps:CreateNetworkLink", "odps:List", "odps:Execute" ], "Effect":"Allow", "Resource":[ "acs:odps:*:networklinks/*" ] }, { "Action":[ "odps:Usage" ], "Effect":"Allow", "Resource":[ "acs:odps:*:regions/*/quotas/*" ] } ], "Version":"1" }在租户管理頁面,單擊用户管理頁簽。
可以管理租戶層級使用者、新增使用者(僅當前主帳號下的子帳號)以及給使用者授予租戶層級角色。
管理租戶角色
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列,選擇 。
在租户管理頁面,單擊角色管理頁簽。
在角色列表的操作列可以查看、刪除、修改角色。
管理租戶使用者
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列,選擇 。
在租户管理頁面,單擊用户管理頁簽。
在該頁面管理租戶層級使用者、新增使用者(僅當前主帳號下的子帳號)以及給使用者授予租戶層級角色。