本文介绍租户级别角色授权流程、权限命令和管理租户权限,在租户级别实现对Quota、NetworkLink等对象的权限控制。
背景信息
当前MaxCompute的Project、Table、Function、Resource、Instance等对象的操作权限都是Project级别,用户需要添加到Project中再进行授权管理。本文将介绍Quota和NetworkLink对象的Action通过Policy方式授权给租户角色。
适用范围
仅阿里云账号或者具备租户级别Super_Administrator和Admin角色的用户可操作租户级别权限管理。
租户级别权限只能通过租户角色(Role)进行权限控制。
租户角色(Role)的权限范围只能通过Policy方式授予。
租户级别角色授权流程
创建租户角色t_role1。
通过Policy方式给租户角色t_role1授权。
将用户添加为租户成员。
将租户角色t_role1授权给用户。
相关租户级别权限命令
-- 以下命令可在本租户内可执行的project里发起。
-- 添加/删除user到租户。
ADD tenant USER <user_name>;
REMOVE tenant USER <user_name>;
-- 查看租户中的users、roles。
List tenant users;
List tenant roles;
-- 创建/删除租户级别role。
CREATE tenant role <role_name>;
DROP tenant role <role_name>;
-- 将租户role授权/移除user。
GRANT tenant role <rolename> TO USER <user_name>;
REVOKE tenant role <rolename> FROM USER <user_name>;
-- 将租户role加入/删除到project。
ADD tenant role <rolename> TO project <projectname>;
REMOVE tenant role <rolename> FROM project <projectname>;
-- 查看租户role/user的权限。
SHOW grants FOR tenant role <role_name>;
SHOW grants FOR tenant USER <user_name>;
SHOW principals FOR tenant [role] <role_name>;
通过MaxCompute控制台管理租户权限
新增租户角色
登录MaxCompute控制台,在左上角选择地域。
在左侧导航栏,选择 。
在租户管理页面,单击角色管理页签。
在角色管理页签,单击新增角色,在弹出的新增角色对话框,填写自定义角色名称和policy内容,然后单击确定完成创建。
参数名称
说明
角色名称
新建账户级别角色的名称。在阿里云账号内唯一。命名需要满足如下要求:
以字母开头。
只能包含字母、下划线(_)或数字。
长度为6~64个字符。
policy内容
角色的权限策略。在界面上根据策略模板编辑策略代码。
policy内容示例,下述示例表示:
对于
networklink对象表示允许该角色对所有networklinks具备CreateNetworkLink、List和Execute操作权限。对于
Quota对象表示允许该角色对所有Region下所有Quota具备Usage权限。
{ "Statement":[ { "Action":[ "odps:CreateNetworkLink", "odps:List", "odps:Execute" ], "Effect":"Allow", "Resource":[ "acs:odps:*:networklinks/*" ] }, { "Action":[ "odps:Usage" ], "Effect":"Allow", "Resource":[ "acs:odps:*:regions/*/quotas/*" ] } ], "Version":"1" }在租户管理页面,单击用户管理页签。
可以管理租户级别用户、新增用户(仅当前主账号下的子账号)以及给用户授予租户级别角色。
管理租户角色
登录MaxCompute控制台,在左上角选择地域。
在左侧导航栏,选择 。
在租户管理页面,单击角色管理页签。
在角色列表的操作列可以查看、删除、修改角色。
管理租户用户
登录MaxCompute控制台,在左上角选择地域。
在左侧导航栏,选择 。
在租户管理页面,单击用户管理页签。
在该页面管理租户级别用户、新增用户(仅当前主账号下的子账号)以及给用户授予租户级别角色。