需求场景:通过DataWorks简单模式项目使用MaxCompute,项目设置MaxCompute访问身份为“个人账号”,当成员子账号为开发角色时,对MaxCompute Project默认可删除所有表的权限。然而业务需求有些表非常重要,不允许开发角色进行删除同时要求杜绝误删,假设这些表名都是以tb_开头。
操作步骤:
1、在客户端创建role ,这里我创建的角色名为test,链接和命令如下:
https://help.aliyun.com/document_detail/27927.html?spm=a2c4g.11186623.6.926.51d647bcbndTpj
create role + role_name
2、通过policy 方式授权project_test项目下,禁止删除 tb_* 开头的所有表,权限赋予test角色。链接和命令如下:
https://help.aliyun.com/document_detail/162576.html?spm=a2c4g.11174283.6.936.3d36590e82MdUv
grant drop on table tb_* to role test privilegeproperties("policy" = "true", "allow"="false");
3、将test角色赋予子账号。链接和命令如下:
https://help.aliyun.com/document_detail/27935.html?spm=a2c4g.11186623.6.932.1bee77ccDP44gr
grant test to + 子账号
4、通过dataworks设置子账号为开发角色。
(1)、登录到Dataworks首页,后点击右上方的小扳手进入工作空间配置页面。
(2)、进入页面后点击成员管理进行子账号角色配置。
(3)、在MaxCompute客户端执行下面的命令,将test角色权限授予子账号,格式如下:
grant test to + 子账号名
(4)、在MaxCompute客户端登录子账号,进行权限的查看,命令如下:
show grants for + 子账号名
(5)、子账号删除tb开头表的测试如图:
结论:通过policy可以用roles的方式进行权限控制。
参数说明:
• privilegeproperties中的{"policy" = "true"}表示当前为Policy授权。
• privilegeproperties中的{"allow"="[true|false]"}表示本次授权为白名单形式授权。黑名单形式授权为 {"deny"=" [true|false]"}。
• revoke只有allow、objectName和rolename三个参数对应时才会生效。
注意点:
1、如果不知道账号名,可以通过 whoami 命令查看
2、添加的用户名username既可以是云账号(即在阿里云官网上注册过的有效邮箱地址),也可以是执行此命令的云账号的某个RAM子账号。