全部产品
Search

搜索本产品

    大数据开发治理平台 DataWorks:实现指定用户访问特定UDF最佳实践

    文档中心

    大数据开发治理平台 DataWorks:实现指定用户访问特定UDF最佳实践

    更新时间:Jul 02, 2024

    本文为您介绍如何实现将资源(表、UDF等)设置为仅能被指定的用户访问。此方法涉及数据的加密解密算法,属于数据安全管控范畴。

    前提条件

    您需要提前安装MaxCompute客户端,以实现指定UDF被指定用户访问的操作。详情请参见安装并配置MaxCompute客户端

    背景信息

    设置用户访问权限的常见方法有如下几种:

    • Package方案,通过打包授权进行权限精细化管控。

      Package用于解决跨项目空间的数据共享及资源授权问题。通过Package授予用户开发者角色后,用户拥有所有权限,风险不可控。详情请参见基于Package跨项目访问资源

      • 下图为DataWorks开发者角色的权限。**

        由上图可见,开发者角色对工作空间中的Package、Functions、Resources和Table默认有全部权限,不符合权限配置的要求。

      • 下图为通过DataWorks添加子账号并赋予开发者角色的权限。**

      由此可见,通过打包授权和DataWorks默认的角色都不能满足特定用户访问指定UDF的需求。例如,授予子账号RAM$xxxxx.pt@aliyun-test.com:ramtest开发者角色,则默认该子账号拥有当前工作空间中全部对象的所有操作权限,详情请参见用户授权

    • 在DataWorks中新建角色进行权限管控。

      在DataWorks工作配置页面的MaxCompute高级配置页面,可以对自定义用户角色进行权限管控。在该页面只能针对某个表或项目进行授权,不能对资源和UDF进行授权。

      说明

      更多有关DataWorks工作空间的MaxCompute属性介绍,请参见配置MaxCompute引擎权限

    • Role Policy结合Project Policy实现指定用户访问指定UDF。

      通过Policy可以精细化地管理具体用户对特定资源的具体权限粒度。

      说明

      为了安全起见,建议初学者使用测试项目来验证Policy。

    因此您可以通过Policy方案实现特定UDF被指定用户访问:

    • 如果您不想让其他用户访问工作空间内具体的资源,在DataWorks中添加数据开发者权限后,再根据Role Policy的操作,在MaxCompute客户端将其配置为拒绝访问权限。

    • 如果您需要指定用户访问指定资源,在DataWorks中添加数据开发者权限后,再根据Project Policy的操作,在MaxCompute客户端将其配置为允许访问权限。

    操作步骤

    1. 创建默认拒绝访问UDF的角色。

      1. 在客户端输入如下命令创建角色denyudfrole。 

        create role denyudfrole;

      2. 创建Policy授权文件,如下所示。 

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": ["odps:Read","odps:List"],
      "Resource": "acs:odps:*:projects/sz_mc/resources/getaddr.jar"
    },
    {
      "Effect": "Deny",
      "Action": ["odps:Read","odps:List"],
      "Resource": "acs:odps:*:projects/sz_mc/registration/functions/getregion"
    }
  ]
}

      3. 设置Role Policy。

        在客户端执行如下命令,设置Role Policy文件的存放路径。 

        put policy /Users/yangyi/Desktop/role_policy.json on role denyudfrole;

      4. 在客户端执行如下命令查看Role Policy。 

        get policy on role denyudfrole;

        返回结果如下。**

      5. 在客户端执行如下命令添加子账号至role denyudfrole。 

        grant denyudfrole to RAM$xxxx.pt@aliyun-test.com:ramtest;

    2. 验证拒绝访问UDF的角色是否创建成功。

      1. 登录客户端输入whoami;确认角色。

        **

      2. 通过show grants;查看当前登录用户权限。

        **

        通过查询发现该RAM子账号有两个角色,一个是role_project_dev(即DataWorks默认的开发者角色),另一个是刚自定义创建的denyudfrole。

      3. 验证自建UDF以及依赖的包的权限。

        **

        通过上述验证发现,该子账号在拥有DataWorks开发者角色的前提下,没有自建UDF(getregion)的读权限。您还需要结合Project Policy来实现该UDF只能被指定的用户访问。

    3. 配置Project Policy。

      1. 编写Policy。 

        {
"Version": "1", "Statement":
[{
"Effect":"Allow",
"Principal":"RAM$yangyi.pt@aliyun-test.com:yangyitest",
"Action":["odps:Read","odps:List","odps:Select"],
"Resource":"acs:odps:*:projects/sz_mc/resources/getaddr.jar"
},
{
"Effect":"Allow",
 "Principal":"RAM$xxxx.pt@aliyun-test.com:yangyitest",
"Action":["odps:Read","odps:List","odps:Select"],
"Resource":"acs:odps:*:projects/sz_mc/registration/functions/getregion"
}] }

      2. 设置Role Policy。

        在客户端执行如下命令,设置Role Policy文件的存放路径。 

        put policy /Users/yangyi/Desktop/project_policy.json;

      3. 在客户端执行如下命令查看Role Policy。

        get policy;

        返回结果如下。**

      4. 通过whoami;show grants;进行验证。

        **

      5. 运行SQL任务,查看是否仅指定的RAM子账号能够查看指定的UDF和依赖的包。

        • 指定的RAM子账号查看指定的UDF。**

        • 查看依赖包。**