一、操作環境
I 自有數倉資料啟動
登入阿里雲圖計算服務控制台。
2. 在建立資料表時如果選擇配置MaxCompute(原ODPS)資料來源,需要在MaxCompute中給openias帳號授權可讀許可權。
二、MaxCompute授權流程
下載和配置 使用本地用戶端(odpscmd)串連。
通過運行./bin/odpscmd進入MaxCompute環境。
給帳號【ALIYUN$openias】授權。
Tips:
ALIYUN$openias 為iGraph引擎BS離線系統的MC帳號,該BS離線系統承擔MC資料索引構建的功能。
海外地區如新加坡需要額外配置,可聯絡支援人員解決。
iGraph引擎的離線系統需要的許可權列表:
Object | Action | 說明 |
Project | Read | 查看專案自身(不包括專案的任何對象)的資訊,例如CreateTime。 |
Project | List | 查看專案所有類型的對象列表。 |
Table | Describe | 讀取表的元資訊。 |
Table | Select | 讀取表的資料。 |
Table | Download | 下載表資料資訊用於構建索引 |
其他動作:見MaxCompute許可權文檔.
I 添加角色
// 添加 openias帳號許可權
add user `ALIYUN$openias`;
// 通過list users;確認是否已經添加成功
list users;II 授權可讀許可權
// 授權
// [project] 替換為您的真實project
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant Describe ON TABLE [table] to user `ALIYUN$openias`;
grant Select ON TABLE [table] to user `ALIYUN$openias`;III 授權可寫入權限
// 授權
// [project] 替換為您的真實project
// [user] 替換為上邊添加的user
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateTable ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateInstance ON PROJECT [project] to user `ALIYUN$openias`;IV 敏感欄位單獨授權
# 顯式授權訪問t1中敏感度不超過2級的資料
$ GRANT LABEL 2 ON TABLE t1 TO USER `ALIYUN$openias`;
# 顯式授權訪問t1(col1, col2)中敏感度不超過3級的資料
$ GRANT LABEL 3 ON TABLE t1(col1, col2) TO USER `ALIYUN$openias`;
# 對整個專案空間都進行敏感欄位的授權
$ set label 4 to user `ALIYUN$openias`;