管理员账号_MaxCompute项目子账号做超级管理员
场景
主账号不是大数据团队管理,使用MaxCompute员工都只持有子账号,而project的owner只能为主账号,但是很多MaxCompute的权限管理还需要owner才可以操作(如项目级别的flag设置,package跨项目资源共享配置等),因此非常需要一个子账号拥有超级管理员权限。
之前有写过一篇文章《MaxCompute 项目子账号做权限管理》,是通过MaxCompute的admin role来解决问题,本文主要介绍super_administrator role,以及作为超级管理员日常管理工作中的一些建议。
关于super_administrator role
Super_Administrator role:MaxCompute新增内置的管理角色,拥有操作项目内所有类型资源的权限和管理类权限,具体权限请参考文档管理角色。该角色可由project owner指派给子账号,子账号获得该角色后,即可代替owner对该project在进行数据开发过程中所需的各种管理操作,包括常用的项目级别的flag设置以及所有权限管理操作。
指派子账号为超级管理员
前提建议:
- 可以将有权限创建project的子账号指派为super_administrator role,这样该账号既可以很好的管理DataWorks项目的同时管理对应的Max Compute project。>如何授权子账号可创建project可参考[此文档](https://help.aliyun.com/document_detail/74248.html?spm=a2c4g.11186623.2.20.2ac614bbBpKuoe#title-vqq-tk3-15k)。
- 建一个一个project只能指派一个子账号为super_administrator role,其他需要有基本的权限管理可以指派admin role
- 需要注意明确该子账号持有人的职责,建议一个子账号对应一个开发者,避免账号共用,以便能更好的保障数据安全。
确认好具体哪个子账号可以用户超级管理员(同时该子账号可以创建项目空间),子账号创建好project,此时projec的owner依然是主账号,主账号可以通过以下方式将super_administrator role 授权给该子账号。
- 通过MaxCompute客户端授权:假设主账号用户bob@aliyun.com是项目空间project_a的Owner,Allen是bob@aliyun.com中的RAM子账号。打开项目空间project_a。use project_a; 为项目空间project_a添加RAM子账号Allen。 add user ram$bob@aliyun.com:Allen; 为子账号Allen授权Super_Administrator角色权限。 grant super_administrator TO ram$bob@aliyun.com:Allen; 为子账号Allen授权Admin角色权限。 grant admin TO ram$bob@aliyun.com:Allen;
- 通过DataWorks授权:
- 登录DataWorks,进入工作空间配置页面。
- 添加子账号为项目空间成员(已经添加过可忽略)。
1) 单击左侧导航栏上的成员管理,进入成员管理页面。
2) 单击右上角的添加成员。
3) 在添加成员页面,从待添加账号列表中选择需要添加的组织成员显示在已添加账号列表中。
4) 勾选角色并单击确定。 - 为子账号授权Super_Administrator角色。1) 单击左侧导航栏MaxCompute高级配置。 2) 单击左侧导航栏自定义用户角色。 3) 单击需要授权角色后的成员管理,从待添加账号列表中选择需要添加的组织成员显示在已添加账号列表中。 ![image.png](https://ucc.alicdn.com/pic/developer-ecology/bb8db4b3c8a64032b79c870d527d5e5c.png)20/jpeg/36371/1580893560423-d5235e7c-b42f-4809-805b-faa68d5c9d08.jpeg) 单击确定,完成账号授权。
- 子账号查看自身的权限:
cmd中执行 show grants;,如果有Super_Administrator 这个role,说明已经赋权成功。
成员、权限管理
拥有super_administrator 角色的子账号本身已经拥有所有project资源的查询和操作权限,所以无须再给自身授权。以下给出针对其他成员和成员权限管理的建议。
成员管理
- MaxComopute 支持云账号和RAM子账号(子账号只能为Project owner的子账号),为了更好的保障数据安全,建议project中添加的user均为owner主账号的RAM子账号。主账号可控制子账号,如人员转岗离职等,主账号可以注销或更新对应的子账号。> 若通过DataWorks进行项目成员管理,只能添加owner的RAM子账号。
- RAM子账号只能通过主账号添加(这个不是MaxCompute可以改变的事实),所以对于某project 成员即使拥有super_administrator 角色的超级管理员,也只能先需要主账号先创建好其他子账号才可以将其他子账号添加到project中。
- 建议只添加需要在当前project进行数据开发(即会在当前project执行job)的user,对于有数据交互业务需求的user,建议通过package方式进行跨project资源共享,避免把user添加到project增加成员管理的复杂度。
- 员工转岗或离职,先把对应子账号在project里remove掉,然后再通知owner注销子账号。如果是拥有super_administrator 角色的子账号持有者转岗或离职,则需要由主账号进行remove以及注销账号。
权限管理
- 建议通过角色进行权限管理,即权限和role关联,role和user关联。
- 建议实施最小够用原则,避免权限过大造成安全隐患。
- 跨project使用数据时,建议通过package方式实现,避免资源提供方增加成员管理成本,只需要管理package。
权限审计
可以通过MaxCompute的元数据服务Information_Schema服务提供的相关视图进行权限审计。
资源使用以及成本管理
作为MaxComopute主要负责人,不应该仅仅关注成员和权限,还有资源使用、成本都需要关注。
- 关于成本,避不开账单,可以参考文档《查看账单详情》,对于子账号,需要主账号在RAM访问控制-角色管理给子账号所在角色赋相关权限:(AliyunBSSFullAccess—管理费用中心(BSS)的权限;或,AliyunBSSReadOnlyAccess—只读访问费用中心(BSS)的权限;或,AliyunBSSOrderAccess—费用中心(BSS)查看订单、支付订单及取消订单的权限)> 注意,费用中心相关权限与MaxCompute project的super_administrator role无关联。
- 关于资源使用管理,如果您使用MaxCompute包年包月的计算资源,则可以通过MaxCompute 管家进行计算资源的使用查看及管理。
查看更多:https://yq.aliyun.com/articles/744382?utm_content=g_1000103979
上云就看云栖号:更多云资讯,上云案例,最佳实践,产品入门,访问:https://yqh.aliyun.com/
管理员账号_MaxCompute项目子账号做超级管理员相关推荐
- MaxCompute 项目子账号做权限管理
场景: 一个企业使用多款阿里云产品,MaxCompute是其中一个产品,用的是同个主账号,主账号不是由使用MaxCompute的大数据同学管理, 大数据同学使用的是子账号.大数据同学日常需要给Max ...
- mysql 如何添加子账号_创建子账号
创建子账号 上一节介绍了如何和 MySQL 建立连接登录到 MySQL,并且对初始化密码进行了修改,本节主要介绍如何新建一个子账号,并且使用子账号登录 MySQL. 1. 使用 root 账号登录 M ...
- oss子账号_阿里云对象存储 OSS,不使用主账号,使用子账号来访问存储内容
https://help.aliyun.com/document_detail/31932.html?spm=5176.doc31929.2.5.R7sEzr 这个示例从一个没有任何Bucket的阿里 ...
- 添加账号php,添加子账号示例代码
require_once 'curl.func.php'; $appkey = 'your_appkey_here';//你的appkey $company = '极速数据';//企业名称 $sign ...
- 子账号表的设计(不用递归实现查询,同一张表做外键)
最近公司在做<资管系统>账号管理部分需要得到所有子账号.父账号等等信息.个人觉得用递归查询比较繁琐,于是设计了以下表 关键字段:账号id,父账号.顶级账号.账号层次(也就是树的级别). 查 ...
- iOS开发者账号添加子账号
硬性标准:账号类型必须是公司类型($99)或者是企业类型($299),其他账号无法添加子账号 步骤:1, 进入开发者页面,如果页面上显示有这个选项,则账号能添加子账号,否则无法添加子账号 2 ...
- mysql 如何添加子账号_05 MySQL 创建子账号 - MySQL 基础教程
上一节介绍了如何和 MySQL 建立连接登录到 MySQL,并且对初始化密码进行了修改,本节主要介绍如何新建一个子账号,并且使用子账号登录 MySQL. 1. 使用 root 账号登录 MySQL 使 ...
- “子账号”功能全新上线,助力企业开发者多人协作
如果您是一位企业开发者,在使用腾讯位置服务的时候是否被以下问题困扰过? - 企业当中有多人需要登录控制台,但企业只有1个账号,无法同时登录- - 某位开发者需要登录,但企业账号不是本人注册的,需要找当 ...
- VMLogin主账号和子账号的区别大吗?
VMLogin防关联浏览器主账号和子账号的区别? 其实主账号和子账号在实际操作中功能是一样的,登录方式也是一样的,都是在VMLogin软件界面登录的. 主账号和子账号的关系有点像电话卡的子母卡号:共用 ...
最新文章
- 成功解决ModuleNotFoundError: No module named 'HTMLParser'
- html tab与jQuery,js与jquery分别实现tab标签页功能的方法
- 数学--数论--HDU-2698 Maximum Multiple(规律)
- linux cifs windows 慢,windows上使用dockerIO特别慢有没有更优的解决方案?
- 表单验证的初步实现和省市级联
- cassandra 数据量_Cassandra和Spark的数据处理简介
- Newsgroups数据集介绍
- Codeforces Beta Round #71 C【KMP+DP】
- 喜大普奔!Django官方文档终于出中文版了
- PAT甲级1012 (结构体,排序)
- python易错盲点排查之+=与+的区别分析以及一些赋值运算踩过的坑
- HDU 5348 MZL's endless loop(DFS去奇数度点+欧拉回路)
- 行业认证标准:IEC 61508电气/电子产品功能安全“通用”国际标准
- 仿药易通输入单位信息后如果没有则自动加入功能
- 自组织的组织力量,数字化趋势之一
- Java多态实例主人和狗狗企鹅玩游戏
- python实现Instagram网络爬虫
- 物联网的主要特征是什么,目前的主要应用哪些?
- 房地产估值法研究报告_房地产估值方法
- linux if 判断文件,shell中的逻辑判断,if 判断文件、目录属性,if判断的一些特殊用法...
热门文章
- webview img照片旋转_Python图像处理,照片去色、翻转、模糊、缩略图统统搞定
- 代码画简单动物_[500行代码学懂OpenGL]之六数学知识
- springboot整合redisson实现多种分布式锁
- Spring Boot application.yml文件语法
- transform用于图像检索
- 数据分析与挖掘建模实战003:单因子探索分析与可视化001数据案例介绍
- pdo mysql连接类_PHP PDO-MYSQL:如何在不同类之间使用数据库连接
- 特征筛选10——MIC最大信息系数(有监督筛选)
- linux nohup后台执行管道操作
- java远程执行功能_Java远程连接Linux服务器并执行命令及上传文件功能