項目(Project)是MaxCompute的基本組織單元,是進行多用戶隔離和訪問控制的主要邊界。您開通MaxCompute服務后,需要通過項目使用MaxCompute。本文為您介紹如何通過MaxCompute控制臺創建、管理MaxCompute項目。
前提條件
阿里云賬號或RAM用戶已開通MaxCompute服務。
默認只有阿里云賬號可以創建、配置和刪除項目以及變更項目狀態,如果您需要以RAM用戶管理MaxCompute項目,請確認已獲取RAM用戶賬號并已授予AliyunMaxComputeFullAccess系統策略或自定義RAM策略權限。
更多創建或獲取RAM用戶信息操作,請參見準備RAM用戶。
權限說明
阿里云賬號:擁有項目管理所有查看和操作權限。
RAM用戶:
需將RAM用戶添加到項目中,在項目列表中才可見對應項目。
創建、刪除、修改項目的默認Quota和項目凍結、恢復操作需獲取RAM權限,詳情請參見RAM權限。
進入項目配置頁面,進行參數配置、角色權限、Package管理操作需有項目的相關管理權限,內置角色Admin、Super_Administrator,自定義管理權限請參見項目管理類權限一覽表。
注意事項
創建MaxCompute項目時,您需要注意:
使用阿里云賬號創建MaxCompute項目后,您具備項目內所有內容的操作權限。任何人未經授權無法訪問該項目。
對于RAM用戶創建的MaxCompute項目,RAM用戶和歸屬的阿里云賬號同時具備項目內所有內容的操作權限。其他人未經授權無法訪問該項目。
對于RAM用戶創建的MaxCompute項目,為方便管理,MaxCompute會默認賦予RAM用戶該項目的Super_Administrator角色。
創建項目
MaxCompute控制臺創建的Project允許被各客戶端使用,DataWorks提供統一的全鏈路大數據開發治理平臺,緊密的集成MaxCompute,其工作空間標準模式不支持綁定存量MaxCompute項目。推薦您直接通過DataWorks創建MaxCompute項目并進行使用,詳情請參見創建工作空間。
登錄MaxCompute控制臺,在左上角選擇地域。
在左側導航欄,選擇工作區 > 項目管理。
在項目管理頁面,單擊新建項目。
在新建項目對話框,根據界面提示配置參數。
如下參數需重點關注。
參數
說明
項目名稱
字母開頭,包含字母、數字以及下劃線(_),長度為3~28個字符,名稱全局唯一。
計算資源付費類型
默認計算Quota的計費類型。
默認Quota
用于實現計算資源分配。
不指定計算Quota的情況下,該項目發起的作業將消耗默認Quota資源。更多計算資源使用請參見計算資源-Quota使用。
單SQL消費限制
單SQL消費的最高閾值。
單位:掃描量(GB)*復雜度。非必填項,當選擇按量付費計費類型時建議設置,可以避免非預期的單SQL消費過高。同時也建議配置實時消費監控告警,多方位監控限制消費超出預期,詳情請參見消費監控告警。
數據類型
MaxCompute數據類型包含1.0數據類型、2.0數據類型和Hive兼容類型。
您需要根據業務情況選擇合適的數據類型版本,三種數據類型版本的區別請參見數據類型版本說明。
是否加密
指定創建的MaxCompute項目是否需要開啟數據加密功能。更多數據加密信息,請參見存儲加密。
當選擇需要加密時,需要選擇密鑰和對應算法:
密鑰:項目空間使用的密鑰類型,包含默認密鑰(MaxCompute Default Key)和自帶密鑰(BYOK)。默認密鑰(MaxCompute Default Key)是MaxCompute內部創建的默認密鑰。
算法:密鑰支持的加密算法,包含AES256、AESCTR和RC4。
單擊確定,完成新建項目。
配置項目
登錄MaxCompute控制臺,在左上角選擇地域。
在左側導航欄,選擇工作區 > 項目管理。
在項目管理頁面,單擊目標項目操作列的管理。
參數配置。
在項目配置頁面,單擊參數配置。
在參數配置頁簽,可配置如下參數。
參數分類
參數
說明
基礎信息
默認計算Quota
可選擇更換項目綁定的默認計算Quota。
存儲量(GB)
查看項目當前存儲大小,此存儲量與計量口徑一致,即按Project采集壓縮后的邏輯存儲大小。
數據傳輸服務
可選擇更換項目綁定的數據傳輸服務資源組。
Default(數據傳輸服務共享資源組):該項目不允許使用數據傳輸服務(包年包月)資源組。不管開啟成默認數據傳輸服務資源組取值是什么,該項目默認提交的數據傳輸服務會自動使用Default資源組。
數據傳輸服務(包年包月)資源組:該項目允許使用數據傳輸服務(包年包月)資源組。
開啟成默認數據傳輸服務資源組的值為開啟時,該項目默認提交的數據傳輸服務會自動使用數據傳輸服務(包年包月)資源組。
開啟成默認數據傳輸服務資源組的值為關閉時,該項目默認提交的數據傳輸服務會自動使用Default資源組。
說明如果需要使用數據傳輸服務(包年包月)資源組,需要在數據傳輸任務中手工指定數據傳輸服務(包年包月)資源組。
開啟成默認數據傳輸服務資源組
可選擇開啟或者關閉。
開啟:表示該項目默認提交的數據傳輸任務會使用數據傳輸服務資源組綁定的數據傳輸服務資源組。
關閉:表示該項目默認提交的數據傳輸任務會使用數據傳輸服務共享資源組。
超級管理員
成員
查看或編輯項目的
super_administrator角色成員,此處設置效果與角色權限頁簽里對super_administrator角色的成員管理一致,只是此操作支持RAM權限校驗,即RAM用戶擁有UpdateUsersToSuperAdmin權限后即可在此設置項目的super_administrator角色成員,詳情請參見RAM權限。基礎屬性
允許分區表全表掃描
設置項目空間是否允許全表掃描,即為設置
odps.sql.allow.fullscan屬性。全表掃描會占用大量資源,為提升處理效率,不建議開啟該功能備份數據保留天數
設置項目空間備份數據的保留天數,即為設置
odps.timemachine.retention.days屬性。在此期間,您可以將當前版本恢復至任意一個備份的數據版本。取值范圍為[0,30],默認值為1,0代表關閉備份功能。
數據類型版本
可選擇項目的數據類型版本,包含1.0數據類型、2.0數據類型和Hive兼容類型。
三種數據類型版本的區別請參見數據類型版本說明。
開啟decimal2.0
可選擇項目是否開啟MaxCompute 2.0的Decimal數據類型,即為設置
odps.sql.decimal.odps2屬性。單SQL消費限制
設置單SQL消費的最高閾值,即為設置
odps.sql.metering.value.max屬性,詳細內容請參見消費監控告警。單位:掃描量(GB)*復雜度。
存儲加密狀態
此項目前僅能查看,不可編輯,項目是否加密僅在創建項目時進行定義。
是否需配置生命周期
設置項目空間下的表是否需要配置生命周期,即為設置
odps.table.lifecycle屬性,有如下取值。optional:創建表時,Lifecycle子句為可選設置,如果不設置表的生命周期,則該表永久有效。
mandatory:Lifecycle子句為必選設置,用戶必須設置表的生命周期。
inherit:創建表時,如果不設置表的生命周期,則該表的生命周期為odps.table.lifecycle.value的值,odps.table.lifecycle.value屬性設置表的生命周期,單位為:天。取值范圍為
1~37231,默認值為37231。
項目時區
選擇項目空間的時區,即為設置
odps.sql.timezone屬性。權限屬性
使用ACL授權
設置是否使用ACL權限控制功能,即為設置
CheckPermissionUsingACL屬性,默認為使用狀態。使用Policy授權
設置是否使用Policy權限控制功能,即為設置
CheckPermissionUsingACL屬性,默認為使用狀態。允許對象創建者操作對象
設置是否允許對象創建者擁有對象的訪問權限,即為設置
ObjectCreatorHasAccessPermission屬性。默認為允許狀態。允許對象創建者授權對象
設置是否允許對象創建者擁有對象的授權權限,即為設置
ObjectCreatorHasGrantPermission屬性。默認為允許狀態。啟動Label訪問控制
設置是否使用Label權限控制功能,即設置
LabelSecurity屬性,默認為不使用狀態。項目空間數據保護
設置是否開啟項目的數據保護機制,即設置
ProjectProtection屬性,禁止或允許數據流出項目。如選擇開啟項目空間數據保護,還允許設置例外或受信任項目,詳情請參見數據保護機制。
開啟Download權限
設置是否開啟Download權限控制功能,即設置
odps.security.enabledownloadprivilege屬性。IP白名單
經典網絡IP
設置經典網絡下的IP白名單,僅允許白名單內的設備訪問項目空間。
說明如果只配置經典網絡IP白名單,則經典網絡訪問受配置限制,VPC網絡訪問全部禁止。
VPC網絡IP
設置VPC網絡下的IP白名單,僅允許白名單內的設備訪問項目空間。
說明如果只配置VPC網絡IP白名單,則VPC網絡訪問受配置限制,經典網絡訪問全部禁止。
外部網絡
可用的外部網絡地址
可添加或刪除需要訪問的目標公網IP或域名、端口。詳情請參見訪問公網方案。
角色管理。
在角色權限頁簽,可對項目進行角色權限管理,包含角色增、刪、改以及將角色授權給用戶。
說明默認只有阿里云賬號有權限對項目進行角色管理,如果您需要以RAM用戶身份進行,需要擁有對應項目的管理權限角色。
在項目配置頁面,單擊角色權限。
在角色權限頁簽,單擊新增項目級別角色。
在新建角色對話框,請根據界面提示新建角色并授權。
支持創建管理類(Admin)角色和資源操作類(Resource)角色。需重點關注授權方式參數,角色授權支持ACL和Policy兩種方式,各類對象對應的權限說明請參見MaxCompute權限。
ACL:支持對Resource類型角色批量添加多個Project對象進行授權。
說明提交的時候注意不要關閉進度條或頁面,否則授權將會被中斷。
Policy:主要解決ACL授權機制無法解決的Admin類型權限以及Resource類型權限對一些復雜授權場景,如一次操作對一組對象進行授權(所有表或以xxx為開頭的表等,用通配符
*表達),或進行帶限制條件的授權。授權語法請參見Policy概況。Policy授權示例。
支持所有管理類權限的Admin角色。
{ "Statement":[ { "Action":[ "odps:*" ], "Effect":"Allow", "Resource":[ "acs:odps:*:projects/project_name/authorization/*" ] } ], "Version":"1" }支持Project內所有
tmp開頭的表查詢權限的Resource角色。{ "Statement":[ { "Effect":"Allow", "Action":[ "odps:Describe", "odps:Select" ], "Resource":[ "acs:odps:*:projects/project_name/tables/tmp_*", "acs:odps:*:projects/project_name/schemas/*/tables/tmp_*" ] } ], "Version":"1" }
單擊確定,完成新建角色與授權。
其他相關操作。
查看角色。
在角色權限的角色列表可以查看項目空間下所有的角色,包括內置的Super_Administrator和Admin。單擊目標角色操作列的編輯角色,可以查看指定角色的權限。
說明如果角色是通過Policy方式創建可以正常顯示Policy的內容,如果角色是通過ACL方式創建,那么會有可能因為Table、Resource、Function等對象過多無法展示,只能搜索單個對象查看action是否有授權或通過執行
describe role <role_name>;命令查看整個角色權限內容。編輯角色權限。
單擊目標角色操作列的編輯角色,ACL授權方式的角色,可以添加或移除某個對象的Action,或將某對象添加或移除,如果需要移除的對象沒在角色列表里顯示,可通過命令進行編輯,詳情請參見項目級別角色授權。
說明如果MaxCompute項目與DataWorks工作空間關聯,則DataWorkd會給對應的項目初始化一些角色,這些角色有固定的權限符合DataWorks的業務邏輯,不建議對這些角色進行更新。具體DataWorks初始化的角色請參見附錄:空間級預設角色與MaxCompute引擎權限的映射關系。
當通過ACL方式已授權角色非常多的對象時,打開編輯角色對話框可能會超時,如果超時,暫時只能通過命令查看和編輯該角色的ACL權限。
查看角色成員。
單擊目標角色操作列的成員管理,在成員管理對話框可以查看角色成員、將角色賦予用戶或將用戶從角色里移除(即收回賦予用戶的角色)。
刪除角色。
單擊目標角色操作列的刪除,即在MaxCompute項目中刪除已創建的角色。等同于執行
drop role <role_name>;命令,詳情請參見角色規劃。啟用或禁用租戶級別角色。
在角色權限頁簽,角色級別選擇租戶,單擊目標角色操作列的啟用或禁用。
說明涉及項目空間內的對象,需要在項目空間內進行啟用才生效。
配置Package。
MaxCompute跨項目訪問資源授權方式推薦使用Package,Package常用于只需分享Tables、Resources、Functions但不需要共享計算資源或無人員管理的數據權限管理需求,Package主要分為資源分享方和資源訪問方,一個完整的通過Package進行跨項目授權訪問的步驟流程如下。
資源分享方分享。
在項目配置頁面,單擊新建Package。
在新建Package對話框,填寫package名稱和選擇要分享的Table、Resource、Function。
單擊確定,完成新建Package。
單擊Package操作列的允許項目。
在允許安裝此package的項目對話框,輸入可使用此Package的項目名稱。
單擊確定。
資源訪問方訪問。
在項目配置頁面,單擊安裝Package。
在安裝Package對話框,輸入要訪問的Package名稱。
單擊確定,便可以訪問Package。
(可選)將Package授權給角色,再將角色授權給用戶,詳情請參見角色管理。
項目成員查看。
MaxCompute的項目數據權限管控要求將用戶(User)加入項目中進行授權。您可在項目配置頁面,單擊項目成員頁簽,查看項目內所有成員的相關權限詳情。
變更項目狀態
MaxCompute項目支持變更狀態的操作有如下兩種操作。
凍結:即停止服務,項目將被禁用,無法運行作業,項目內數據也不能被查詢,但是數據將繼續保留,因此會產生存儲費用。凍結后的項目狀態為停服。
恢復:將停服狀態、預刪除狀態的項目恢復,恢復成功后項目狀態將為正常。
登錄MaxCompute控制臺,在左上角選擇地域。
在左側導航欄,選擇工作區 > 項目管理。
在項目管理頁面的項目列表,單擊目標項目操作列的凍結或恢復。
在確認對話框,單擊確定。
刪除項目
刪除項目時支持立即刪除,即徹底刪除,永久不可恢復,刪除時需要短信驗證,默認驗證碼發送到阿里云賬號綁定的手機(里綁定設置的手機號)。
RAM角色刪除項目不支持短信驗證,因此為了避免誤刪除不建議RAM角色擁有刪除項目權限。
項目立即刪除后,清理數據需要一定的時間,項目數量越大需要清理的時間越長。因此,若立即創建同名項目時報錯表示項目已存在,則需要稍后再重試。
需要注意項目刪除將導致如下后果:
立即刪除后,項目內所有表(數據)將立即被刪除,并且永久無法恢復。
所有向該MaxCompute項目提交的任務因項目不存在都將運行失敗。
如果MaxCompute項目已經綁定DataWorks工作空間,刪除MaxCompute項目后DataWorks工作空間將無法正常使用并不能恢復,請先訪問DataWorks進行解綁再刪除MaxCompute項目。
登錄MaxCompute控制臺,在左上角選擇地域。
在左側導航欄,選擇工作區 > 項目管理。
在項目管理頁面的項目列表,單擊目標項目操作列的刪除。
在刪除項目對話框,選擇刪除類型,單擊確定。
項目標簽管理
MaxCompute支持用戶為項目綁定或解綁標簽,標簽的詳細用法及使用限制請參見標簽概述。
登錄MaxCompute控制臺,在左上角選擇地域。
在左側導航欄,選擇工作區 > 項目管理。
創建標簽。
單個項目創建標簽。
將鼠標懸浮于目標項目所在標簽列的
圖標上,單擊綁定/編輯。在編輯標簽對話框中,輸入標簽鍵和標簽值。
單擊確定,并在標簽編輯成功對話框中單擊關閉。
批量創建多個項目的標簽。
選中要批量添加標簽的項目,單擊頁面底部的批量打標。
在編輯標簽對話框中,輸入標簽鍵和標簽值。
單擊確定,并在標簽編輯成功對話框中單擊關閉。
標簽篩選。
項目綁定標簽后,您可以在標簽篩選下拉列表中根據標簽的鍵和值篩選項目。
(可選)解綁標簽。
單個項目解綁標簽。
將鼠標懸浮于目標項目后所在標簽列的
圖標上,單擊編輯。在編輯標簽對話框中,單擊要解綁標簽后方的
圖標。單擊確定,并在標簽編輯成功對話框中單擊關閉。
批量解綁多個項目的標簽。
選中要批量解綁標簽的項目,單擊頁面底部的批量刪除標簽。
在批量解綁標簽對話框中,選中需要解綁標簽左側的復選框。
單擊解綁x個標簽(x為具體的解綁標簽數),并在標簽編輯成功對話框中單擊關閉。