MaxCompute studio與權限那些事兒

背景知識

MaxCompute擁有一套強大的安全體系，來保護項目空間裏的數據安全。用戶在使用MaxCompute時，應理解權限的一些基本概念：

• 權限可分解爲三要素，即主體（用戶帳號或角色），客體（表/資源/函數等），以及操做（與特定客體類型相關），詳細參考 https://help.aliyun.com/document_detail/27935.html。
• 受權有兩種方式：ACL(基於對象，grant語句)和Policy(基於策略，policy file)。
• 跨項目受權使用package：https://help.aliyun.com/document_detail/34602.html。
• 可經過列標籤實現表中列不一樣的訪問控制：https://help.aliyun.com/document_detail/34604.html。

爲了方便用戶更好的理解與使用MaxCompute權限，studio實現瞭如下功能：

權限查看

用戶在project下有哪些權限，可經過show grants語句得到。studio編輯器已集成權限相關的語句(https://help.aliyun.com/document_detail/27936.html)) 經過快捷鍵(Windows: Ctrl + J , MAC: Command + J )喚出live template，而後搜索便可：

另外，studio對此也提供了圖形化的方式顯示用戶的權限。以下圖，點擊工具欄上的show privileges按鈕，彈出Show user privileges對話框，點擊search button, 下方就會顯示用戶在該project下的權限：

json標籤頁是全部權限的彙總，點擊table標籤頁，則顯示用戶在table上的權限。鼠標懸停在table標籤頁上，則提示table的權限說明：

權限異常診斷

當因缺乏權限致使任務報鑑權失敗異常時，可經過studio的權限異常診斷，快速尋找解決方案。以下圖，點擊工具欄上的權限異常診斷按鈕，彈出權限異常診斷對話框，在上方文本框中輸入完整的鑑權異常信息，而後點擊ok按鈕，則下方文本框會顯示可能的解決方案：

權限語句編寫

MaxCompute提供了一系列的權限語句，studio SQL編輯器已集成這些語句，用戶能夠利用studio來執行這些語句以完成相應的權限操做。具體的，經過快捷鍵(Windows: Ctrl + J , MAC: Command + J )喚出live template，而後搜索：

另外，在編寫受權語句過程當中，也支持相應的代碼智能提示：

受權語句生成

除了手寫受權語句，studio也支持圖形化給用戶受權，點擊工具欄上的show privileges按鈕，彈出Show user privileges對話框，點擊Grant privilege標籤頁，選擇好受權對象，下方的SQL窗格就會同步顯示其對應的受權語句，而後點擊execute grant command，等待後臺完成便可。

studio中的權限

• 添加MaxCompute project時，studio會嘗試列舉project下的全部客體到本機，即用戶必須有project的list權限。
• 顯示錶詳情時，用戶必須具有table的describe權限；顯示自定義函數，則必須具有function的read權限。在編輯器中編寫SQL，用到的table或function，則也必須有上述讀權限。
• 在編輯器中運行某條SQL，則必須具有SQL中表的select權限，同時還必須有project的CreateInstance權限以能提交SQL任務。
• 開發好了UDF，要想發佈，則必須有function的write權限。

權限好文

官方文檔 https://help.aliyun.com/document_detail/27926.html
MaxCompute安全管理指南 https://yq.aliyun.com/articles/686800

---

本文做者：昊一

閱讀原文

本文爲雲棲社區原創內容，未經容許不得轉載。