273      windows

OSS 數據權限隔離__用戶指南_E-MapReduce-阿裏雲

操作步驟

E-MapReduce 支持使用 RAM 來隔離不同子賬號的數據。操作步驟如下所示：

1. 登錄阿裏雲 RAM 的管理控製台。

2. 在RAM中創建子賬號，具體流程請參見如何在 RAM 中創建子賬號。

3. 單擊阿裏雲 RAM 的管理控製台頁麵左側的授權策略管理，進入授權策略管理界麵。

4. 單擊自定義授權策略。

5. 單擊頁麵右上方的新建授權策略按鈕，即進入創建授權策略界麵，然後按照提示步驟進行創建。您需要多少套不同的權限控製，就創建多少個策略。

   假設您需要以下 2 套數據控製策略：

   • 測試環境， bucketname：test-bucket。其所對應的完整策略如下：

     {
     "Version": "1",
     "Statement": [
     {
     "Effect": "Allow",
     "Action": [
       "oss:ListBuckets"
     ],
     "Resource": [
       "acs:oss:*:*:*"
     ]
     },
     {
     "Effect": "Allow",
     "Action": [
       "oss:Listobjects",
       "oss:GetObject",
       "oss:PutObject",
       "oss:DeleteObject"
     ],
     "Resource": [
       "acs:oss:*:*:test-bucket",
       "acs:oss:*:*:test-bucket/*"
     ]
     }
     ]
     }

   • 生產環境， bucketname：prod-bucket。其所對應的完整策略如下：

     {
     "Version": "1",
     "Statement": [
     {
     "Effect": "Allow",
     "Action": [
       "oss:ListBuckets"
     ],
     "Resource": [
       "acs:oss:*:*:*"
     ]
     },
     {
     "Effect": "Allow",
     "Action": [
       "oss:Listobjects",
       "oss:GetObject",
       "oss:PutObject"
     ],
     "Resource": [
       "acs:oss:*:*:prod-bucket",
       "acs:oss:*:*:prod-bucket/*"
     ]
     }
     ]
     }

6. 單擊阿裏雲 RAM 的管理控製台頁麵左側的用戶管理。

7. 找到需要將策略賦給的子賬號條目，單擊其右側的管理按鈕，進入用戶管理頁麵。

8. 單擊頁麵左側的用戶授權策略。

9. 單擊右上角的編輯授權策略按鈕，進入策略授權頁麵。

10. 選擇並添加授權策略。

11. 單擊確定，完成對子賬號的策略授權。

12. 單擊用戶管理頁麵左側的用戶詳情，進入子賬號的用戶詳情頁麵。

13. 在 Web 控製台登錄管理欄中，單擊啟用控製台登錄，以打開子賬號的登錄控製台的權限。

完成並使用

完成以上所有步驟以後，使用對應的子賬號登錄 E-MapReduce，會有以下限製：

• 在創建集群、創建作業和創建執行計劃的 OSS 選擇界麵，可以看到所有的 bucket，但是隻能進入被授權的 bucket。

• 隻能看到被授權的 bucket 下的內容，無法看到其他 bucket 內的內容。

• 作業中隻能讀寫被授權的 bucket，讀寫未被授權的 bucket 會報錯。

最後更新：2016-11-23 16:03:59

  上一篇： 多版本 Python 使用說明__用戶指南_E-MapReduce-阿裏雲

  下一篇： SSH 登錄集群__用戶指南_E-MapReduce-阿裏雲