MaxCompute許可權

背景資訊

MaxCompute細化了專案（Project）、Quota、Networklink對象以及專案內的表（Table）、函數（Function）、資源（Resource）及執行個體（Instance）對象的操作，同時還支援對Tunnel下載、敏感性資料訪問及跨專案訪問行為進行管控。在專案實際運行過程中，可以根據人員操作範疇進行精細化授權，為各對象安全提供可靠保障。

執行許可權授權操作時，需要包含如下三個要素。

租戶內對象許可權一覽表

專案及專案內對象許可權一覽表

專案管理類許可權一覽表

• MaxComopute管理類許可權Action列表如下。

  權限類別	Action列表	說明

  權限類別	Action列表	說明
  Project安全配置	SetSecurityConfiguration	設定Project安全配置。
  	GetSecurityConfiguration	查看Project安全配置。
  	SetProperty	設定Project IP白名單。
  Policy管理	PutPolicy	更新Policy。
  	GetPolicy	查看Policy。
  	AddPolicyStatments	添加PolicyStatments。
  	RemovePolicyStatments	移除PolicyStatments。
  Account Provider管理	AddAccountProviders	添加Account Provider。
  	RemoveAccountProviders	移除Account Provider。
  	ListAccountProviders	列出Account Provider。
  Trusted Projects管理	AddTrustedProjects	添加Trusted Projects。
  	RemoveTrustedProjects	移除Trusted Projects。
  	ListTrustedProjects	列出Trusted Projects。
  Principal管理	AddUser	添加User。
  	RemoveUser	移除User。
  	ListUsers	列出User。
  	ListUserRoles	列出User的角色列表。
  角色管理	CreateRole	建立角色。
  	DescribeRole	查看角色。
  	AlterRole	修改角色屬性。
  	DropRole	刪除角色。
  	ListRoles	列出角色。
  角色授權	GrantRole	授予使用者角色。
  	RevokeRole	移除使用者角色。
  	ListRolePrincipals	查看角色使用者列表。
  Package管理	CreatePackage	建立Package。
  	DescribePackage	查看Package。
  	DropPackage	刪除Package。
  	ShowPackages	列出Package。
  	InstallPackage	安裝Package。
  	UninstallPackage	卸載Package。
  	AllowInstallPackage	許可其他Projects使用Package。
  	DisallowInstallPackage	撤銷許可其他Projects使用Package。
  	AddPackageResource	向Package添加資源。
  	RemovePackageResource	向Package移除資源。
  Label授權管控	GrantLabel	Label授權。
  	RevokeLabel	撤銷Label授權。
  	ShowLabelGrants	查看Label授權。
  	SetDataLabel	設定使用者、角色Label。
  ACL授權管控	GrantPrivs	ACL授權。
  	RevokePrivs	撤銷ACL授權。
  	ShowAclGrants	查看ACL授權。
  清理到期許可權	ClearExpiredGrants	清理到期許可權。

• 管理類許可權Resource分類：

  說明

  以下Resource URI中省略acs:odps:*:projects/<project_name>/部分，只書寫<project_name>/後面的部分。

  權限物件類別	Resource URI	說明

  權限物件類別	Resource URI	說明
  Project安全配置	authorization/configurations/security_configuration	project security_configuration
  	authorization/configurations/policy	project policy
  	authorization/configurations/security_policy	project security_policy
  	authorization/configurations/protected_exception	project protected_exception
  Project	authorization	專案空間的Account Provider、Trusted Projects等管理類。
  Project Principal	authorization/users	project使用者。
  Project 角色	authorization/roles/resource/<role_name>	project資源類角色。
  	authorization/roles/administrator/<role_name>	project管理類角色。
  	authorization/roles/super_administrator/super_administrator	project內建super_administrator角色。
  Project 資源	authorization/objecttype/objectname	Table、Volume、Job等資源。
  Package管理	authorization/packages/<projectname>.<packagename>	package類許可權。
  Package資源	authorization/packageresources/projectname.packagename/objecttype/objectname	package中資源。

  使用說明：

  • 對於使用者，因為涉及到使用者名稱，URI只支援指定到其類別，不支援指定到具體使用者。

  • 對於角色，URI支援指定到具體某一角色。

  • 為區分所有Package和所有Package中資源語意區別，前者URI中使用packages/projectname.packagename表達，後者使用packageresources/projectname.packagename/objecttype/objectname表達。如此以來packages/*表示所有Package，packageresources/*表示Package中所有資源。

• 管理類許可權點列表如下。

  權限類別	許可權點	Action	Resource

  權限類別	許可權點	Action	Resource
  Project安全配置許可權	設定安全配置。	SetSecurityConfiguration	projects/<project_name>/authorization/configurations/security_configuration
  	查看安全配置。	GetSecurityConfiguration
  	設定Policy。	PutPolicy	projects/<project_name>/authorization/configurations/policy
  	查看Policy。	GetPolicy
  	設定protected_exception。	PutPolicy	projects/<project_name>/authorization/configurations/protected_exception
  	查看protected_exception。	GetPolicy
  	設定security_policy。	PutPolicy	projects/<project_name>/authorization/configurations/security_policy
  	查看security_policy。	GetPolicy
  Project Account Provider管理	添加Account Provider。	AddAccountProvider	projects/<project_name>/authorization
  	刪除Account Provider。	RemoveAccountProvider
  	列出Account Provider。	ListAccountProviders
  Project Trusted Projects管理	添加Trusted Projects。	AddTrustedProjects	projects/<project_name>/authorization
  	刪除Trusted Projects。	RemoveTrustedProjects
  	列出Trusted Projects。	ListTrustedProjects
  Project Principal管理	添加使用者。	AddUser	projects/<project_name>/authorization/users
  	刪除使用者。	RemoveUser
  	列出使用者。	ListUsers
  	列出使用者角色。	ListUserRoles
  Project角色管理	添加資源類角色。	CreateRole	projects/<project_name>/authorization/roles/resource
  	查看資源類角色。	DescribeRole	projects/<project_name>/authorization/roles/resource/<role_name>
  	刪除資源類角色。	DropRole
  	添加管理類角色。	不涉及	說明 只有Project Owner或者Super_Administrator可以建立管理類角色並對其進行賦權。
  	刪除管理類角色。
  	查看管理類角色。	DescribeRole	projects/<project_name>/authorization/roles/administrator/<role_name>
  	列出角色。	ListRoles	projects/<project_name>/authorization/roles
  Project角色Policy管理	設定資源類角色Policy。	PutPolicy	projects/<project_name>/authorization/roles/resource/<role_name>
  	查看資源類角色Policy。	GetPolicy
  	增加資源類角色PolicyStatments。	AddPolicyStatments	projects/<project_name>/authorization/roles/resource/<role_name>
  	移除資源類角色PolicyStatments。	RemovePolicyStatments
  	設定管理類角色Policy。	不涉及	說明 只有Project Owner或者Super_Administrator可以建立管理類角色並對其進行賦權。
  	查看管理類角色Policy。	GetPolicy	projects/<project_name>/authorization/roles/administrator/<role_name>
  	增加管理類角色PolicyStatments。	不涉及	說明 只有Project Owner或者Super_Administrator可以建立管理類角色並對其進行賦權。
  	移除管理類角色PolicyStatments。
  角色授權及查看	授予使用者資源類角色。	GrantRole	projects/<project_name>/authorization/roles/resource/<role_name>
  	移除使用者資源類角色。	RevokeRole
  	授予使用者管理類角色。	GrantRole	projects/<project_name>/authorization/roles/administrator/<role_name>
  	移除使用者管理類角色。	RevokeRole
  	授予使用者Super_Administrator角色。	不涉及	說明 只有Project Owner或者Super_Administrator可以授予或移除使用者Super_Administrator角色。
  	移除使用者Super_Administrator角色。
  	查看資源類角色使用者列表。	ListRolePrincipals	projects/<project_name>/authorization/roles/resource/<role_name>
  	查看管理類角色使用者列表。	ListRolePrincipals	projects/<project_name>/authorization/roles/administrator/<role_name>
  	查看Super_Administrator角色使用者列表。	ListRolePrincipals	projects/<project_name>/authorization/roles/super_administrator/super_administrator
  	查看使用者的角色列表。	ListPrincipalRoles	projects/<project_name>/authorization/principals/users
  Package管理	建立Package。	CreatePackage	projects/<project_name>/authorization/packages
  	列出Packages。	ShowPackages
  	查看Package。	DescribePackage	projects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>
  	刪除Package。	DropPackage
  	安裝Package。	InstallPackage	projects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>
  	卸載Package。	UninstallPackage
  	許可其他Projects使用Package。	AllowInstallPackage	projects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>
  	撤銷許可其他Projects使用Package。	DisallowInstallPackage
  	向Package添加資源。	AddPackageResource	projects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>
  	移除Package中資源。	RemovePackageResource
  Label許可權管控	Project內資源Label授權。	GrantLabel	projects/<project_name>/authorization/label/<resource_relative_id> 說明 resource_relative_id表示Project內資源路徑，例如名稱為table_1的resource_relative_id為tables/table_1。 支援資源萬用字元。例如tables/*表示Project內所有表。
  	Project內資源Label許可權撤銷。	RevokeLabel
  	Project內資源Label許可權查看。	ShowLabelGrants
  	Package資源Label授權。	GrantLabel	projects/<project_name>/authorization/packageresources/<package_creater_project_name>.<package_name>/<resource_relative_id>
  	Package內資源Label許可權撤銷。	RevokeLabel
  	Package內資源Label許可權查看。	ShowLabelGrants
  	查看使用者Label授權。	ShowLabelGrants	projects/<project_name>/authorization/users
  	查看角色Label授權。	ShowLabelGrants	projects/<project_name>/authorization/roles/resource/<role_name> 說明 不支援對管理類角色進行Label授權、設定或者查看。
  設定使用者、角色Label	設定使用者Label。	SetDataLabel	projects/<project_name>/authorization/users
  	設定角色Label。	SetDataLabel	projects/<project_name>/authorization/roles/resource/<role_name>
  ACL許可權管控	Project內資源ACL授權。	GrantPrivs	projects/<project_name>/authorization/<resource_relative_id> 說明 支援對ACL授權的actions進行管控。 Policy中支援StringIntersectSetEmpty(IgnoreCase)/StringIntersectSetNotEmpty(IgnoreCase)/StringSubSet(IgnoreCase)/StringNotSubSet(IgnoreCase)字串集合類運算。可以在Policy中使用上述運算子對Actions集合進行約束（使用acs:Privileges條件關鍵字）。 例如以下Policy拒絕odpsxxxx@aliyun.com對prj1中所有表包含Download或者Select許可權的ACL授權操作： { "Action":[ "odps:GrantPrivs"], "Effect":"Deny", "Principal":"aliyun$odpsxxxx@aliyun.com", "Resource":"acs:odps::projects/prj1/authorization/acl/tables/*", "Condition":{ "IntersectionSetNotNull":{ "acs:Privileges":["Download","Select"] } } } Project自身的resource_relative_id為projects/<project_name>。
  	撤銷Project內資源ACL授權。	RevokePrivs
  	查看Project內資源ACL授權。	ShowAclGrants
  	Package資源ACL授權。	GrantPrivs	projects/<project_name>/authorization/packageresources/<package_creater_project_name>.<package_name>/<resource_relative_id>
  	撤銷Package資源ACL授權。	RevokePrivs
  	查看Package資源ACL授權。	ShowAclGrants
  	查看使用者ACL授權。	ShowAclGrants	projects/<project_name>/authorization/users
  	查看資源類角色ACL授權。	ShowAclGrants	projects/<project_name>/authorization/roles/resource/<role_name>
  清理到期許可權	清理到期許可權。	ClearExpiredGrants	projects/<project_name>/authorization