MaxCompute與DataWorks權(quán)限及示例分析

這篇文章將為大家詳細(xì)講解有關(guān)MaxCompute與DataWorks權(quán)限及示例分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

背景：用戶在使用MaxCompute與DataWorks這兩種權(quán)限模型不清楚，并且對(duì)于相關(guān)MaxCompute的權(quán)限執(zhí)行語句也不太熟悉，以至于在自己的實(shí)際操作中不能建立完整的權(quán)限策略，導(dǎo)致權(quán)限控制的混亂，甚至在開發(fā)過程中時(shí)常遇到權(quán)限問題的錯(cuò)誤，導(dǎo)致延誤業(yè)務(wù)的推動(dòng)進(jìn)展，該篇文檔集主要的權(quán)限知識(shí)點(diǎn)與一體，常用的MaxCompute權(quán)限語句，以及經(jīng)典的開發(fā)環(huán)境和生產(chǎn)環(huán)境之間的賦權(quán)示例給大家做出做出介紹。

一、MaxCompute的安全模型

cdn.com/255487b7ccafbc3d139d0090569bf520a3284d74.png">

二、DataWorks安全模型

三、子賬戶添加的限制

四、MaxCompute的授權(quán)管理圖

五、授權(quán)場(chǎng)景和注意事項(xiàng)

六、移除用戶的注意事項(xiàng)

七、成員管理的相關(guān)語句

查看成員：

Project owner或admin命令行執(zhí)行
List users;   --查看成員列表
Show grants for <username>; -- 查看某成員權(quán)限

添加成員：

1.DataWorks添加RAM子賬號(hào)；
2.Project owner或admin命令行方式執(zhí)行
add user <username>   --可為RAM子賬戶或其他云賬戶

刪除成員：

1.DataWorks刪除RAM子賬號(hào)；
2.Project owner或admin命令行方式執(zhí)行：
remove user <username>

八、角色管理的相關(guān)語句：

查看角色：

查看role列表：List roles;
查看role中的權(quán)限：describe role <role_name>
查看某用戶在什么role中:show grants for <username>
查看某個(gè)role都指派給那些user：目前不支持！

創(chuàng)建角色：

創(chuàng)建role：Create role <role_name>;
給角色授權(quán)：grant actions on object to <role_name>
添加用戶到角色：grant <roleName> TO <full_username>

刪除角色：

刪除角色中的用戶：REVOKE <roleName> FROM <full_usename>;
撤銷對(duì)角色的授權(quán)：revoke <privList> on <objType> <objName> from role <rolename>
刪除角色: DROP ROLE <roleName>

九、policy授權(quán)介紹

Policy授權(quán)則是?種基于主體的授權(quán)。通過Policy授權(quán)的權(quán)限數(shù)據(jù)（即訪問策略）被看做是授權(quán)主體的?種 ?資源。只有當(dāng)主體（?戶或??）存在時(shí)才能進(jìn)?Policy授權(quán)操作。當(dāng)主體被刪除時(shí)，通過Policy授權(quán)的 權(quán)限數(shù)據(jù)會(huì)被?動(dòng)刪除。 Policy授權(quán)使?MaxCompute?定義的?種訪問策略語?來進(jìn)?授權(quán)，允許或 禁?主體對(duì)項(xiàng)?空間對(duì)象的訪問權(quán)限。 

Policy授權(quán)機(jī)制，主要解決ACL授權(quán)機(jī)制?法解決的?些復(fù)雜授權(quán)場(chǎng)景，?如：

• ?次操作對(duì)?組對(duì)象進(jìn)?授權(quán)，如所有的函數(shù)、所有以 “taobao” 開頭的表

• 帶限制條件的授權(quán)，如授權(quán)只會(huì)在指定的時(shí)段內(nèi)才會(huì)?效、當(dāng)請(qǐng)求者從指定的IP地址發(fā)起請(qǐng)求時(shí)授權(quán)才 會(huì)?效、或者只允許?戶使?SQL（?不允許其它類型的Task）來訪問某張表。

Policy授權(quán)語句格式如下：

GET POLICY; --讀取項(xiàng)目空間的Policy 
PUT POLICY <policyFile>; --設(shè)置（覆蓋）項(xiàng)目空間的Policy 
GET POLICY ON ROLE <roleName>; --讀取項(xiàng)目空間中某個(gè)角色的Policy 
PUT POLICY <policyFile> ON ROLE <roleName>; --設(shè)置（覆蓋）項(xiàng)目空間中某個(gè)角色的Policy

policy基本術(shù)語

• 主體(Principal) 主體(Principal)是指訪問策略中的權(quán)限被指派的對(duì)象。?如，訪問策略”允許張三在 2011年12?31?之前對(duì)資源SampleBucket執(zhí)?CreateObject操作”中的主體是”張三”。

• 操作(Action) 操作(Action)是指主體對(duì)資源的訪問?法。?如，訪問策略”允許張三在2011年12? 31?之前對(duì)資源SampleBucket執(zhí)?CreateObject操作”中的操作是”CreateObject”。

• 資源(Resource) 資源(Resource)是指主體請(qǐng)求訪問的對(duì)象。?如，訪問策略”允許張三在2011年12 ?31?之前對(duì)資源SampleBucket執(zhí)?CreateObject操作”中的資源是”SampleBucket”。

• 訪問限制(Access Restriction) 訪問限制(Access Restriction)是指權(quán)限?效的限制條件。?如，訪 問策略”允許張三在2011年12?31?之前對(duì)資源SampleBucket執(zhí)?CreateObject操作”中的限制 條件是”在2011年12?31?之前”。

• 效?(E?ect) 授權(quán)效?包括兩個(gè)??：允許操作（Allow）和拒絕操作（Deny）。通常，Deny有更? 的效?，在權(quán)限檢查時(shí)會(huì)優(yōu)先使?。 注意：“拒絕操作”和”撤銷授權(quán)”是完全獨(dú)?的兩個(gè)概念，撤銷授 權(quán)通常包括撤銷對(duì)Allow和Deny這兩種不同效?的授權(quán)，?如傳統(tǒng)數(shù)據(jù)庫(kù)?般?持Revoke和Revoke Deny兩種操作

授權(quán)語句(Statement)結(jié)構(gòu)

• E?ect: 指明該條語句的權(quán)限類型，取值必須為Allow或Deny。

• Principal: 如果Policy在授權(quán)時(shí)是與?戶或??綁定，那么就不允許再指定Principal，?如 MaxCompute的Role Policy。 如果Policy在授權(quán)時(shí)是與項(xiàng)?空間或項(xiàng)?空間內(nèi)的對(duì)象綁定，那么必 須指Principal，?如MaxCompute的Project Policy。

• Action: 它表示授權(quán)操作，可以是?個(gè)或多個(gè)操作名，可?持通配符號(hào)” ” 和 ” ? ” 。 例 如 ， A c t i o n = “ ” 表示所有的操作。

• Resource: 它表示授權(quán)對(duì)象，可以是?個(gè)或多個(gè)對(duì)象名，可?持通配符號(hào)” ” 和 ” ? ” 。 例 如 R e s o u r c e = “ ” 表示所有的對(duì)象。

• Condition Block: 條件塊是該條授權(quán)語句所述權(quán)限得以?效的條件。條件塊結(jié)構(gòu)請(qǐng)參?下節(jié)的描述。

十、Policy的實(shí)際使用授權(quán)案例

基于以前的經(jīng)驗(yàn)，我們?cè)趏dps項(xiàng)目中創(chuàng)建了兩個(gè)基本的角色，分別是開發(fā)角色dev、查詢角色adhoc。

create role dev;
create role adhoc;

我們對(duì)于角色的權(quán)限要求大概分如下兩類：

• A開發(fā)權(quán)限：不能修改project屬性但可以讀取project信息，有建表、建資源、建Job等各種常用權(quán)限；可以修改、刪除自己在開發(fā)庫(kù)中創(chuàng)建的表，但對(duì)于其他同學(xué)創(chuàng)建的表則只有讀取權(quán)限。

• B查詢權(quán)限：只能讀取project信息，不能建表、建資源、建Job；只能讀取表，但沒有任何修改、刪除權(quán)限。

我們的安全策略大致是這樣的：

• 開發(fā)庫(kù)上，給所有開發(fā)同學(xué)賦予A開發(fā)權(quán)限。

• 生產(chǎn)庫(kù)上，給所有開發(fā)同學(xué)賦予B查詢權(quán)限。

關(guān)于MaxCompute與DataWorks權(quán)限及示例分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。