MaxCompute支持您通过阿里云账号、RAM用户或RAM角色访问MaxCompute。本文为您介绍如何通过这三种方式访问MaxCompute。
背景信息
MaxCompute支持您通过阿里云账号、RAM用户账号或RAM角色认证用户身份是否有效,如果身份信息有效即可访问MaxCompute。
- 通过阿里云账号访问MaxCompute
创建的阿里云账号为主账号,作为阿里云系统识别的资源消费账户,主账号拥有该账户的所有权限。
- 通过RAM用户账号访问MaxCompute
当您需要邀请其他用户协助使用MaxCompute服务,需要创建RAM用户,并通过主账号为RAM用户授权。
- 通过RAM角色访问MaxCompute
RAM角色(RAM role)与RAM用户一样,都是RAM身份类型的一种。RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要由一个受信的实体用户扮演才能正常使用。
通过阿里云账号访问MaxCompute
通过阿里云账号访问MaxCompute的流程如下:
通过RAM用户账号访问MaxCompute
默认情况下,MaxCompute项目空间仅能识别阿里云账号体系。您可以自行添加对RAM账号体系的支持。通过RAM用户账号访问MaxCompute的流程如下:
通过RAM角色访问MaxCompute
RAM角色不代表某个特定的人员,可以由任何有需要的人员扮演,同时RAM角色没有账号/密码或者AccessKey的认证凭证,需在角色扮演时使用临时安全令牌(STS)进行身份认证。
使用RAM角色访问MaxCompute主要满足以下场景需要:
- 进行角色SSO:阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色来登录阿里云。
- 阿里云跨服务访问:创建可信实体为阿里云服务的RAM角色,阿里云服务A可以使用这个RAM角色代表用户访问B服务。对于MaxCompute服务,支持将指定的RAM角色这一特殊账号,像普通RAM账号一样,添加为MaxCompute项目空间的用户。在项目空间中,把该RAM角色等同于普通RAM账号进行授权管理,例如赋予创建数据对象、执行作业、写入数据、读取数据权限。其它服务可通过扮演该RAM角色访问MaxCompute项目空间,进行数据管理、数据分析、数据交换。
- 创建RAM角色,并定义RAM角色的信任策略,创建RAM角色操作详情请参见创建可信实体为阿里云账号的RAM角色、创建可信实体为身份提供商的RAM角色或创建可信实体为阿里云服务的RAM角色,定义RAM角色的信任策略操作详情请参见修改RAM角色的信任策略。
- 将RAM角色添加至MaxCompute项目空间,操作详情请参见添加RAM角色(项目级别)。
- 使用RAM角色访问MaxCompute项目空间,详情请参见SAML角色SSO概览。