全部产品
Search
文档中心

云原生大数据计算服务 MaxCompute:用户认证

更新时间:Feb 04, 2024

MaxCompute支持您通过阿里云账号、RAM用户或RAM角色访问MaxCompute。本文为您介绍如何通过这三种方式访问MaxCompute。

背景信息

MaxCompute支持您通过阿里云账号、RAM用户账号或RAM角色认证用户身份是否有效,如果身份信息有效即可访问MaxCompute。

  • 通过阿里云账号访问MaxCompute

    创建的阿里云账号为主账号,作为阿里云系统识别的资源消费账户,主账号拥有该账户的所有权限。

  • 通过RAM用户账号访问MaxCompute

    当您需要邀请其他用户协助使用MaxCompute服务,需要创建RAM用户,并通过主账号为RAM用户授权。

  • 通过RAM角色访问MaxCompute

    RAM角色(RAM role)与RAM用户一样,都是RAM身份类型的一种。RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要由一个受信的实体用户扮演才能正常使用。

通过阿里云账号访问MaxCompute

通过阿里云账号访问MaxCompute的流程如下:

  1. 可选:创建阿里云账号,并完成账号认证及创建AccessKey,操作详情请参见准备阿里云账号

    说明
    • 一个AccessKey包括AccessKey ID和AccessKey Secret两部分。AccessKey ID用于检索AccessKey,AccessKey Secret用于计算消息签名,所以需要严格保护以防泄露。当一个AccessKey需要更新时,您可以创建一个新的AccessKey,然后禁用旧的AccessKey。

    • 禁用或解禁一个AccessKey时,需要等待15分钟后才能完全生效。

  2. 使用创建的阿里云账号或基于AccessKey访问MaxCompute。

    说明

    由于阿里云账号的AccessKey泄露会对整个账号的云资源带来风险,建议您不要直接使用阿里云账号执行MaxCompute日常的操作或管理。

通过RAM用户账号访问MaxCompute

默认情况下,MaxCompute项目空间仅能识别阿里云账号体系。您可以自行添加对RAM账号体系的支持。通过RAM用户账号访问MaxCompute的流程如下:

  1. 可选:查看MaxCompute项目空间支持的账号体系,增加对RAM账号体系的支持。

    1. 登录MaxCompute客户端(odpscmd),执行add accountprovider ram;命令,增加对RAM账号体系的支持。

    2. 执行list accountproviders;命令查看MaxCompute项目空间支持的账号系统已增加RAM。

  2. 基于阿里云账号创建RAM用户,并将RAM用户添加至MaxCompute项目空间。操作详情请参见准备RAM用户为工作空间添加空间成员

    说明

    MaxCompute项目空间仅识别RAM的账号体系,将RAM账号添加到MaxCompute项目空间中作为项目空间成员,MaxCompute项目空间不识别该RAM账号在RAM权限体系中的权限。即您可以将自身的任意RAM账号加入MaxCompute的某一个项目中,但MaxCompute在对该RAM账号进行权限验证时,并不会考虑RAM中的权限定义。

通过RAM角色访问MaxCompute

RAM角色不代表某个特定的人员,可以由任何有需要的人员扮演,同时RAM角色没有账号/密码或者AccessKey的认证凭证,需在角色扮演时使用临时安全令牌(STS)进行身份认证。

使用RAM角色访问MaxCompute主要满足以下场景需要:

  • 进行角色SSO:阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色来登录阿里云。

  • 阿里云跨服务访问:创建可信实体为阿里云服务的RAM角色,阿里云服务A可以使用这个RAM角色代表用户访问B服务。对于MaxCompute服务,支持将指定的RAM角色这一特殊账号,像普通RAM账号一样,添加为MaxCompute项目空间的用户。在项目空间中,把该RAM角色等同于普通RAM账号进行授权管理,例如赋予创建数据对象、执行作业、写入数据、读取数据权限。其它服务可通过扮演该RAM角色访问MaxCompute项目空间,进行数据管理、数据分析、数据交换。

  1. 创建RAM角色,并定义RAM角色的信任策略,创建RAM角色操作详情请参见创建可信实体为阿里云账号的RAM角色创建可信实体为身份提供商的RAM角色创建可信实体为阿里云服务的RAM角色,定义RAM角色的信任策略操作详情请参见修改RAM角色的信任策略

  2. 将RAM角色添加至MaxCompute项目空间,操作详情请参见添加RAM角色(项目级别)

  3. 使用RAM角色访问MaxCompute项目空间,详情请参见SAML角色SSO概览