__前提:__MaxCompute與DataWorks爲兩個產品,在權限體系上既有交集又要必定的差異。在權限問題以前需瞭解兩個產品獨特的權限體系。html
MaxCompute底層計算引擎有本身的安全權限體系,包括ACL、Policy受權體系。具體能夠了解:help.aliyun.com/document_de…安全
DataWorks爲MaxCompute上層的雲數倉開發工具,擁有自身的權限模型外還支持底層MaxCompute底層數據受權體系。具體詳見:help.aliyun.com/document_de…bash
經過MaxCompute Console命令list roles;能夠看到角色體系,role_開頭都爲DataWorks基於MaxCompute封裝的角色及權限體系。介紹以下:運維
rolename
|
對應產品及權限名稱
|
admin
|
MaxCompute底層引擎默認admin角色
|
role_project_admin
|
DataWorks項目管理員
|
role_project_deploy
|
DataWorks部署角色
|
role_project_dev
|
DataWorks開發角色
|
role_project_guest
|
DataWorks訪客角色
|
role_project_pe
|
DataWorks運維角色
|
role_project_scheduler
|
DataWorks生產代持帳號
|
role_project_security
|
DataWorks安全管理員
|
odps@ clouder_bi>describe role admin;
[users]
ALIYUN$***@aliyun-test.com
Authorization Type: Admin複製代碼
MaxCompute project owner能夠將admin角色授予其餘子帳號,用於進行MaxCompute底層的權限模型管理。工具
odps@ clouder_bi>describe role role_project_dev;
[users]
RAM$yangyi.pt@aliyun-test.com:yangyitest
Authorization Type: Policy
A projects/clouder_bi: *
A projects/clouder_bi/instances/*: *
A projects/clouder_bi/jobs/*: *
A projects/clouder_bi/offlinemodels/*: *
A projects/clouder_bi/packages/*: *
A projects/clouder_bi/registration/functions/*: *
A projects/clouder_bi/resources/*: *
A projects/clouder_bi/tables/*: *
A projects/clouder_bi/volumes/*: *複製代碼
在普及完兩個產品的權限體系以外,更多的用戶會遇到各類權限的疑問或者問題。一般能夠經過以下方式來排查:開發工具
show grants; --查看當前用戶本身的訪問權限
show grants for <username>; --查看指定用戶的訪問權限,僅由ProjectOwner和Admin纔能有執行權限 。
show grants for RAM$主賬號:子賬號;複製代碼
能夠看到用戶所具備的角色及相關權限點。ui
show acl for <objectName> [on type <objectType>];--查看指定對象上的用戶和角色受權列表
支持的objecTtype: PROJECT, TABLE, JOB, VOLUME, INSTANCE, RESOURCE, FUNCTION,PACKAGE,TOPOLOGY,MATRIX,XFLOW,OFFLINEMODEL,STREAMJOB複製代碼
show SecurityConfiguration;--查看項目空間的安全配置複製代碼
除了經過命令行方式,也能夠經過__spa
policy受權通常常見有兩種,一個是項目級別的,一個是role級別的。命令行
get policy;--獲取項目級別的policy配置;
get policy on role <rolename>;--獲取指定的role policy設置。複製代碼