背景:用户在使用MaxCompute与DataWorks这两种权限模型不清楚,并且对于相关MaxCompute的权限执行语句也不太熟悉,以至于在自己的实际操作中不能建立完整的权限策略,导致权限控制的混乱,甚至在开发过程中时常遇到权限问题的错误,导致延误业务的推动进展,该篇文档集主要的权限知识点与一体,常用的MaxCompute权限语句,以及经典的开发环境和生产环境之间的赋权示例给大家做出做出介绍。
一、MaxCompute的安全模型
二、DataWorks安全模型
三、子账户添加的限制
四、MaxCompute的授权管理图
五、授权场景和注意事项
六、移除用户的注意事项
七、成员管理的相关语句
查看成员:
Project owner或admin命令行执行
List users; --查看成员列表
Show grants for <username>; -- 查看某成员权限添加成员:
1.DataWorks添加RAM子账号;
2.Project owner或admin命令行方式执行
add user <username> --可为RAM子账户或其他云账户删除成员:
1.DataWorks删除RAM子账号;
2.Project owner或admin命令行方式执行:
remove user <username>八、角色管理的相关语句:
查看角色:
查看role列表:List roles;
查看role中的权限:describe role <role_name>
查看某用户在什么role中:show grants for <username>
查看某个role都指派给那些user:目前不支持!创建角色:
创建role:Create role <role_name>;
给角色授权:grant actions on object to <role_name>
添加用户到角色:grant <roleName> TO <full_username>删除角色:
删除角色中的用户:REVOKE <roleName> FROM <full_usename>;
撤销对角色的授权:revoke <privList> on <objType> <objName> from role <rolename>
删除角色: DROP ROLE <roleName>九、policy授权介绍
Policy授权则是⼀种基于主体的授权。通过Policy授权的权限数据(即访问策略)被看做是授权主体的⼀种 ⼦资源。只有当主体(⽤户或⻆⾊)存在时才能进⾏Policy授权操作。当主体被删除时,通过Policy授权的 权限数据会被⾃动删除。 Policy授权使⽤MaxCompute⾃定义的⼀种访问策略语⾔来进⾏授权,允许或 禁⽌主体对项⽬空间对象的访问权限。
Policy授权机制,主要解决ACL授权机制⽆法解决的⼀些复杂授权场景,⽐如:
Policy授权语句格式如下:
GET POLICY; --读取项目空间的Policy
PUT POLICY <policyFile>; --设置(覆盖)项目空间的Policy
GET POLICY ON ROLE <roleName>; --读取项目空间中某个角色的Policy
PUT POLICY <policyFile> ON ROLE <roleName>; --设置(覆盖)项目空间中某个角色的Policy policy基本术语
授权语句(Statement)结构
十、Policy的实际使用授权案例
基于以前的经验,我们在odps项目中创建了两个基本的角色,分别是开发角色dev、查询角色adhoc。
create role dev;
create role adhoc;我们对于角色的权限要求大概分如下两类:
我们的安全策略大致是这样的:
以下是开发权限的policy:policy_dev_dev.txt内容:
{
"Version": "1",
"Statement":
[{
"Effect":"Allow",
"Action":["odps:Read","odps:CreateTable","odps:CreateResource","odps:CreateJob","odps:CreateInstance","odps:CreateFunction","odps:List"],
"Resource":"acs:odps:*:projects/cbu_dw_dev"
}
,{
"Effect":"Allow",
"Action":"odps:*",
"Resource":[
"acs:odps:*:projects/cbu_dw_dev/tables/*",
"acs:odps:*:projects/cbu_dw_dev/jobs/*",
"acs:odps:*:projects/cbu_dw_dev/instances/*",
"acs:odps:*:projects/cbu_dw_dev/resources/*",
"acs:odps:*:projects/cbu_dw_dev/registration/functions/*"
]
}]
}角色授权语句:
use cbu_dw_dev;
put policy /home/odps/bin/policy_dev_dev.txt on role dev;
用户授权语句:
use cbu_dw_dev;
add user ALIYUN$jin@aliyun.com;
grant dev to ALIYUN$jin@aliyun.com;一下是查询权限的policy:policy_dw_adhoc.txt内容
{
"Version": "1",
"Statement":
[{
"Effect":"Allow",
"Action":["odps:Read","odps:List"],
"Resource":"acs:odps:*:projects/cbu_dw"
}
,{
"Effect":"Allow",
"Action":["odps:Describe","odps:Select"],
"Resource":"acs:odps:*:projects/cbu_dw/tables/*"
}
,{
"Effect":"Allow",
"Action":"odps:Read",
"Resource":[
"acs:odps:*:projects/cbu_dw/jobs/*",
"acs:odps:*:projects/cbu_dw/instances/*",
"acs:odps:*:projects/cbu_dw/resources/*",
"acs:odps:*:projects/cbu_dw/registration/functions/*"
]
}]
}角色授权语句:
use cbu_dw;
put policy /home/odps/bin/policy_dw_adhoc.txt on role adhoc;用户授权语句:
use cbu_dw;
add user ALIYUN$ jin@aliyun.com;
grant adhoc to ALIYUN$jin@aliyun.com;欢迎加入“MaxCompute开发者社区2群”,点击链接申请加入或扫描二维码
https://h5.dingtalk.com/invite-page/index.html?bizSource=____source____&corpId=dingb682fb31ec15e09f35c2f4657eb6378f&inviterUid=E3F28CD2308408A8&encodeDeptId=0054DC2B53AFE745
微信关注我们
转载内容版权归作者及来源网站所有!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。
为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。
Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。
Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。
扫码在手机上查看文章
扫描二维码,手机阅读更方便
有任何问题或合作意向欢迎联系我们
Email: 99873273@qq.com
QQ: 99873273