通过阿里云账号开通DLA服务后,如果您的组织里有多个用户需要使用DLA服务,这些用户只能共享使用您的阿里云账号AccessKey,您的AccessKey存在泄漏的风险,且您无法控制用户的操作权限。此时您可以创建RAM账号,并授予RAM账号对应的操作权限,让您的用户通过RAM账号来访问或管理DLA服务。
权限策略
权限策略分为系统策略和自定义策略。
系统策略:阿里云提供多种具有不同权限的默认权限策略。云原生数据湖分析DLA使用的系统策略如下:
AliyunDLAFullAccess:管理DLA的权限,包括对DLA中所有资源的所有操作权限。
AliyunDLADeveloperAccess:开发者权限,与AliyunDLAFullAccess策略相比,不授予虚拟集群的创建、修改、释放等操作权限。
AliyunDLAReadOnlyAccess:DLA资源只读访问的权限,支持查看虚拟集群,查看作业等操作权限。
系统策略的更多信息,请参见DLA系统策略功能说明。
自定义策略:需要您精准地设计权限策略,适用于熟悉阿里云各种云服务API以及具有精细化控制需求的用户。
操作步骤
以使用主账号在RAM控制台创建一个RAM用户,并授予自定义权限或者系统权限为例,操作步骤如下。
1.创建RAM账号
如何创建RAM账号,请参见创建RAM用户。
2.(可选)创建自定义策略
除了使用DLA提供的系统权限,您还可以在RAM控制台创建自定义权限策略,实现精细化权限管理。
如何创建自定义权限策略,请参见创建自定义权限策略。
3.为RAM账号授权
为RAM账号授权后,RAM账号可以访问相应的阿里云资源。
如何为RAM账号授权,请参见为RAM用户授权。
DLA系统策略功能说明
功能 | DLAFullAccess | DLADeveloperAccess | DLAReadonlyAccess |
查看虚拟集群列表 | ✔️ | ✔️ | ✔️ |
新增虚拟集群 | ✔️ | ❌ | ❌ |
修改虚拟集群 | ✔️ | ❌ | ❌ |
释放虚拟集群 | ✔️ | ❌ | ❌ |
查看集群标签列表 | ✔️ | ✔️ | ✔️ |
增加集群标签 | ✔️ | ❌ | ❌ |
删除集群标签 | ✔️ | ❌ | ❌ |
查看Spark作业列表 | ✔️ | ✔️ | ✔️ |
提交Spark作业 | ✔️ | ✔️ | ❌ |
查看Spark作业 | ✔️ | ✔️ | ✔️ |
停止Spark作业 | ✔️ | ❌ | ❌ |
执行Spark代码块 | ✔️ | ✔️ | ❌ |
查看Spark代码块列表 | ✔️ | ✔️ | ✔️ |
终止Spark代码块 | ✔️ | ❌ | ❌ |
查看Spark代码信息 | ✔️ | ✔️ | ✔️ |
查看湖仓列表 | ✔️ | ✔️ | ✔️ |
创建湖仓 | ✔️ | ❌ | ❌ |
Dump湖仓DSL描述 | ✔️ | ❌ | ✔️ |
查看湖仓相关所有表进度 | ✔️ | ✔️ | ✔️ |
查看Workload列表 | ✔️ | ✔️ | ✔️ |
创建Workload | ✔️ | ❌ | ❌ |
删除Workload | ✔️ | ❌ | ❌ |
启动Workload | ✔️ | ❌ | ❌ |
停止Workload | ✔️ | ❌ | ❌ |
重做校正Workload | ✔️ | ❌ | ❌ |
Dump Workload的DSL | ✔️ | ❌ | ✔️ |
检查Workload输出Prefix前缀是否已存在 | ✔️ | ✔️ | ✔️ |
查看下Workload任务的Log或者Spark UI | ✔️ | ✔️ | ✔️ |
查看Workload的所有表进度 | ✔️ | ✔️ | ✔️ |