背景:用户在使用MaxCompute与DataWorks这两种权限模型不清楚,而且对于相关MaxCompute的权限执行语句也不太熟悉,以致于在本身的实际操做中不能创建完整的权限策略,致使权限控制的混乱,甚至在开发过程当中时常遇到权限问题的错误,致使延误业务的推进进展,该篇文档集主要的权限知识点与一体,经常使用的MaxCompute权限语句,以及经典的开发环境和生产环境之间的赋权示例给你们作出作出介绍。数据库
1、MaxCompute的安全模型安全
2、DataWorks安全模型函数
3、子帐户添加的限制阿里云
4、MaxCompute的受权管理图spa
5、受权场景和注意事项命令行
6、移除用户的注意事项code
7、成员管理的相关语句对象
查当作员:ip
Project owner或admin命令行执行 List users; --查当作员列表 Show grants for <username>; -- 查看某成员权限
添加成员:ci
1.DataWorks添加RAM子帐号; 2.Project owner或admin命令行方式执行 add user <username> --可为RAM子帐户或其余云帐户
删除成员:
1.DataWorks删除RAM子帐号; 2.Project owner或admin命令行方式执行: remove user <username>
8、角色管理的相关语句:
查看角色:
查看role列表:List roles; 查看role中的权限:describe role <role_name> 查看某用户在什么role中:show grants for <username> 查看某个role都指派给那些user:目前不支持!
建立角色:
建立role:Create role <role_name>; 给角色受权:grant actions on object to <role_name> 添加用户到角色:grant <roleName> TO <full_username>
删除角色:
删除角色中的用户:REVOKE <roleName> FROM <full_usename>; 撤销对角色的受权:revoke <privList> on <objType> <objName> from role <rolename> 删除角色: DROP ROLE <roleName>
9、policy受权介绍
Policy受权则是⼀种基于主体的受权。经过Policy受权的权限数据(即访问策略)被看作是受权主体的⼀种 ⼦资源。只有当主体(⽤户或⻆⾊)存在时才能进⾏Policy受权操做。当主体被删除时,经过Policy受权的 权限数据会被⾃动删除。 Policy受权使⽤MaxCompute⾃定义的⼀种访问策略语⾔来进⾏受权,容许或 禁⽌主体对项⽬空间对象的访问权限。
Policy受权机制,主要解决ACL受权机制⽆法解决的⼀些复杂受权场景,⽐如:
Policy受权语句格式以下:
GET POLICY; --读取项目空间的Policy PUT POLICY <policyFile>; --设置(覆盖)项目空间的Policy GET POLICY ON ROLE <roleName>; --读取项目空间中某个角色的Policy PUT POLICY <policyFile> ON ROLE <roleName>; --设置(覆盖)项目空间中某个角色的Policy
policy基本术语
受权语句(Statement)结构
10、Policy的实际使用受权案例
基于之前的经验,咱们在odps项目中建立了两个基本的角色,分别是开发角色dev、查询角色adhoc。
create role dev; create role adhoc;
咱们对于角色的权限要求大概分以下两类:
咱们的安全策略大体是这样的:
本文为阿里云内容,未经容许不得转载。