全部產品
Search
文件中心

Graph Compute:離線儲存授權

更新時間:Jun 30, 2024

一、操作環境

I 自有數倉資料啟動

  1. 登入阿里雲圖計算服務控制台。

2. 在建立資料表時如果選擇配置MaxCompute(原ODPS)資料來源,需要在MaxCompute中給openias帳號授權可讀許可權。

二、MaxCompute授權流程

  1. 下載和配置 使用本地用戶端(odpscmd)串連

  2. 通過運行./bin/odpscmd進入MaxCompute環境。

  3. 給帳號【ALIYUN$openias】授權。

    Tips:

    1. ALIYUN$openias 為iGraph引擎BS離線系統的MC帳號,該BS離線系統承擔MC資料索引構建的功能。

    2. 海外地區如新加坡需要額外配置,可聯絡支援人員解決。

  4. iGraph引擎的離線系統需要的許可權列表:

Object

Action

說明

Project

Read

查看專案自身(不包括專案的任何對象)的資訊,例如CreateTime。

Project

List

查看專案所有類型的對象列表。

Table

Describe

讀取表的元資訊。

Table

Select

讀取表的資料。

Table

Download

下載表資料資訊用於構建索引

其他動作:見MaxCompute許可權文檔.

I 添加角色

// 添加 openias帳號許可權
add user `ALIYUN$openias`; 
// 通過list users;確認是否已經添加成功
list users;

II 授權可讀許可權

// 授權
// [project] 替換為您的真實project
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant Describe ON TABLE [table] to user `ALIYUN$openias`;
grant Select ON TABLE [table] to user `ALIYUN$openias`;

III 授權可寫入權限

// 授權
// [project] 替換為您的真實project
// [user] 替換為上邊添加的user
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateTable ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateInstance ON PROJECT [project] to user `ALIYUN$openias`;

IV 敏感欄位單獨授權

# 顯式授權訪問t1中敏感度不超過2級的資料
$ GRANT LABEL 2 ON TABLE t1 TO USER `ALIYUN$openias`;

# 顯式授權訪問t1(col1, col2)中敏感度不超過3級的資料
$ GRANT LABEL 3 ON TABLE t1(col1, col2) TO USER `ALIYUN$openias`;

# 對整個專案空間都進行敏感欄位的授權
$ set label 4 to user `ALIYUN$openias`;