阿里云助力您在中国加快取得成功
一站式安全合规咨询服务
MLPS 2.0 一站式合规解决方案
依托我们的网络进军中国市场
提升面向互联网应用的性能和安全性
保障您的中国业务安全无忧
通过强大的数据安全框架保护您的数据资产
申请 ICP 备案的流程解读和咨询服务
面向大数据建设、管理及应用的全域解决方案
企业内大数据建设、管理和应用的一站式解决方案
将您的采购和销售置于同一企业级全渠道数字平台上
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
快速搭建在线教育平台
提供域名注册、分析和保护服务
云原生 Kubernetes 容器化应用运行环境
以 Kubernetes 为使用界面的容器服务产品,提供符合容器规范的算力资源
安全的镜像托管服务,支持全生命周期管理
多集群环境下微服务应用流量统一管理
提供任意基础设施上容器集群的统一管控,助您轻松管控分布式云场景
高弹性、高可靠的企业级无服务器 Kubernetes 容器产品
敏捷安全的 Serverless 容器运行服务
为虚拟机和容器提供高可靠性、高性能、低时延的块存储服务
一款海量、安全、低成本、高可靠的云存储服务
可靠、弹性、高性能、多共享的文件存储服务
全托管、可扩展的并行文件系统服务。
全托管的 NoSQL 结构化数据实时存储服务
可抵扣多种存储产品的容量包,兼具灵活性和长期成本优化
让您的应用跨不同可用区资源自动分配访问量
随时绑定和解绑 VPC ECS
云网络公网、跨域流量统一计费
高性价比,可抵扣按流量计费的流量费用
创建云上隔离的网络,在专有环境中运行资源
在 VPC 环境下构建公网流量的出入口
具备网络状态可视化、故障智能诊断能力的自助式网络运维服务。
安全便捷的云上服务专属连接
基于阿里云专有网络的私有 DNS 解析服务
保障在线业务不受大流量 DDoS 攻击影响
系统运维和安全审计管控平台
业务上云的第一个网络安全基础设施
集零信任内网访问、办公数据保护、终端管理等多功能于一体的办公安全管控平台
提供7X24小时安全运维平台
防御常见 Web 攻击,缓解 HTTP 泛洪攻击
实现全站 HTTPS,呈现可信的 WEB 访问
为云上应用提供符合行业标准和密码算法等级的数据加解密、签名验签和数据认证能力
一款发现、分类和保护敏感数据的安全服务
创建、控制和管理您的加密密钥
快速提高应用高可用能力服务
围绕应用和微服务的 PaaS 平台
兼容主流开源微服务生态的一站式平台
多集群环境下微服务应用流量统一管理
企业级全托管实时数据流平台
全托管,开箱即用的Apache Kafka全托管服务
提供物联网移动端和云交互的消息队列
开箱即用的全托管 RabbitMQ 服务
提供基于消息的可靠异步通信机制
应用之间的消息队列和通知
无服务器事件总线服务
Super MySQL 和 PostgreSQL,高度兼容 Oracle 语法
全托管 MySQL、PostgreSQL、SQL Server、MariaDB
兼容 Redis® 的缓存和KV数据库
兼容Apache Cassandra、Apache HBase、Elasticsearch、OpenTSDB 等多种开源接口
文档型数据库,支持副本集和分片架构
100%兼容 Apache HBase 并深度扩展,稳定、易用、低成本的NoSQL数据库。
低成本、高可用、可弹性伸缩的在线时序数据库服务
专为搜索和分析而设计,成本效益达到开源的两倍,采用最新的企业级AI搜索和AI助手功能。
一款兼容PostgreSQL协议的实时交互式分析产品
一种快速、完全托管的 TB/PB 级数据仓库
基于 Flink 为大数据行业提供解决方案
基于Qwen和其他热门模型的一站式生成式AI平台,可构建了解您业务的智能应用程
一站式机器学习平台,满足数据挖掘分析需求
高性能向量检索服务,提供低代码API和高成本效益
帮助您的应用快速构建高质量的个性化推荐服务能力
提供定制化的高品质机器翻译服务
全面的AI计算平台,满足大模型训练等高性能AI计算的算力和性能需求
具备智能会话能力的会话机器人
基于机器学习的智能图像搜索产品
基于阿里云深度学习技术,为用户提供图像分割、视频分割、文字识别等离线SDK能力,支持Android、iOS不同的适用终端。
语音识别、语音合成服务以及自学习平台
一站式智能搜索业务开发平台
助力金融企业快速搭建超低时延、高质量、稳定的行情数据服务
帮助企业快速测算和分析企业的碳排放和产品碳足迹
企业工作流程自动化,全面提高效率
金融级云原生分布式架构的一站式高可用应用研发、运维平台
eKYC 数字远程在线解决方案
可智能检测、大数据驱动的综合性反洗钱 (AML) 解决方案
阿里云APM类监控产品
实时云监控服务,确保应用及服务器平稳运行
为系统运维人员管理云基础架构提供全方位服务的云上自动化运维平台
面向您的云资源的风险检测服务
提升分布式环境下的诊断效率
日志类数据一站式服务,无需开发就能部署
ECS 预留实例
让弹性计算产品的成本和灵活性达到最佳平衡的付费方式。云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势自带IP上云
自带公网 IP 地址上云全球网络互联
端到端的软件定义网络解决方案,可推动跨国企业的业务发展全球应用加速
提升面向互联网应用的性能和安全性全球互联网接入
将IDC网关迁移到云端云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势金融科技云数据库解决方案
利用专为金融科技而设的云原生数据库解决方案游戏行业云数据库解决方案
提供多种成熟架构,解决所有数据问题Oracle 数据库迁移
将 Oracle 数据库顺利迁移到云原生数据库数据库迁移
加速迁移您的数据到阿里云阿里云上的数据湖
实时存储、管理和分析各种规模和类型的数据数码信贷
利用大数据和 AI 降低信贷和黑灰产风险面向企业数据技术的大数据咨询服务
帮助企业实现数据现代化并规划其数字化未来人工智能对话服务
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人EasyDispatch 现场服务管理
为现场服务调度提供实时AI决策支持在线教育
快速搭建在线教育平台窄带高清 (HD) 转码
带宽成本降低高达 30%广电级大型赛事直播
为全球观众实时直播大型赛事,视频播放流畅不卡顿直播电商
快速轻松地搭建一站式直播购物平台用于供应链规划的Alibaba Dchain
构建和管理敏捷、智能且经济高效的供应链云胸牌
针对赛事运营的创新型凭证数字服务数字门店中的云 POS 解决方案
将所有操作整合到一个云 POS 系统中元宇宙
元宇宙是下一代互联网人工智能 (AI) 加速
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速DevOps
快速、安全地最大限度提高您的DevOps优势数据迁移解决方案
加速迁移您的数据到阿里云企业 IT 治理
在阿里云上构建高效可控的云环境基于日志管理的AIOps
登录到带有智能化日志管理解决方案的 AIOps 环境备份与存档
数据备份、数据存档和灾难恢复用阿里云金融服务加快创新
在云端开展业务,提升客户满意度
为全球资本市场提供安全、准确和数字化的客户体验
利用专为金融科技而设的云原生数据库解决方案
利用大数据和 AI 降低信贷和黑灰产风险
建立快速、安全的全球外汇交易平台
新零售时代下,实现传统零售业转型
利用云服务处理流量波动问题,扩展业务运营、降低成本
快速轻松地搭建一站式直播购物平台
面向大数据建设、管理及应用的全域解决方案
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
以数字化媒体旅程为当今的媒体市场准备就绪您的内容
带宽成本降低高达 30%
快速轻松地搭建一站式直播购物平台
为全球观众实时直播大型赛事,视频播放流畅不卡顿
使用阿里云弹性高性能计算 E-HPC 将本地渲染农场连接到云端
构建发现服务,帮助客户找到最合适的内容
保护您的媒体存档安全
通过统一的数据驱动平台提供一致的全生命周期客户服务
在钉钉上打造一个多功能的电信和数字生活平台
在线存储、共享和管理照片与文件
提供全渠道的无缝客户体验
面向中小型企业,为独立软件供应商提供可靠的IT服务
打造最快途径,助力您的新云业务扬帆起航
先进的SD-WAN平台,可实现WAN连接、实时优化并降低WAN成本
通过自动化和流程标准化实现快速事件响应
针对关键网络安全威胁提供集中可见性并进行智能安全分析
提供大容量、可靠且高度安全的企业文件传输
用智能技术数字化体育赛事
基于人工智能的低成本体育广播服务
专业的广播转码及信号分配管理服务
基于云的音视频内容引入、编辑和分发服务
在虚拟场馆中模拟关键运营任务
针对赛事运营的创新型凭证数字服务
智能和交互式赛事指南
轻松管理云端背包单元的绑定直播流
通过数据加强您的营销工作
元宇宙是下一代互联网
利用生成式 AI 加速创新,创造新的业务佳绩
阿里云高性能开源大模型
借助AI轻松解锁和提炼文档中的知识
通过AI驱动的语音转文本服务获取洞察
探索阿里云人工智能和数据智能的所有功能、新优惠和最新产品
该体验中心提供广泛的用例和产品帮助文档,助您开始使用阿里云 AI 产品和浏览您的业务数据。
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速
元宇宙是下一代互联网
构建发现服务,帮助客户找到最合适的内容
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
加速迁移您的数据到阿里云
在阿里云上建立一个安全且易扩容的环境,助力高效率且高成本效益的上云旅程
迁移到完全托管的云数据库
将 Oracle 数据库顺利迁移到云原生数据库
自带公网 IP 地址上云
利用阿里云强大的安全工具集,保障业务安全、应用程序安全、数据安全、基础设施安全和帐户安全
保护、备份和还原您的云端数据资产
MLPS 2.0 一站式合规解决方案
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
实现对 CloudOps、DevOps、SecOps、AIOps 和 FinOps 的高效、安全和透明的管理
构建您的原生云环境并高效管理集群
快速、安全地最大限度提高您的DevOps优势
实施细粒度安全控制
提供运维效率和总体系统安全性
实时分析您的云消耗并实现节约
实时存储、管理和分析各种规模和类型的数据
登录到带有智能化日志管理解决方案的 AIOps 环境
帮助企业实现数据现代化并规划其数字化未来
帮助零售商快速规划数字化之旅
将全球知名的 CRM 平台引入中国
在线存储、共享和管理照片与文件
构建、部署和管理高可用、高可靠、高弹性的应用程序
快速、安全地最大限度提高您的DevOps优势
将您的采购和销售置于同一企业级全渠道数字平台上
企业内大数据建设、管理和应用的一站式解决方案
帮助企业简化 IT 架构、实现商业价值、加速数字化转型的步伐
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
快速搜集、处理、分析联网设备产生的数据
0.0.201
在MaxCompute项目中添加用户后,需要给该用户授权,只有用户获得相应的权限后,才能在项目内执行操作。MaxCompute支持通过角色为用户授权,也支持直接为用户授权。本文为您介绍用户授权命令语法并提供示例供参考。
MaxCompute推荐将项目级别自定义的角色或内置管理角色赋予用户,使用户具备与角色一样的权限,方便批量用户的权限变更与回收。
将用户添加进MaxCompute项目,请参见用户规划与管理。
当用户被移除项目时,需要及时清理遗留权限信息,请参见彻底清除被删除用户遗留的权限信息
将项目级别的内置角色或自定义角色绑定至用户,用户会同时具备角色相应的权限。
命令格式
grant <role_name> to <user_name>;
注意事项
多个用户可以同时存在于一个项目级角色下,一个用户也可以隶属于多个项目级角色。
参数说明
参数名称 | 是否必填 | 说明 |
role_name | 是 | 指定待赋予用户的角色名称。 您可以通过MaxCompute客户端执行 |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
使用示例
将项目级角色Worker绑定至已添加到MaxCompute项目的阿里云用户ALIYUN$5527xxxxxxxx5788、RAM用户RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649及RAM角色RAM$5527xxxxxxxx5788:role/ram_role。
--进入test_project_a项目。
use test_project_a;
--将角色赋予阿里云账号。
grant Worker to ALIYUN$5527xxxxxxxx5788;
--将角色赋予RAM用户。
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
--将角色赋予RAM角色。
grant Worker to `RAM$5527xxxxxxxx5788:role/ram_role`;
解绑赋予用户的角色,用户将不再具备角色相应的权限。
命令格式
revoke <role_name> from <user_name>;
参数说明
参数名称 | 是否必填 | 说明 |
role_name | 是 | 指定待收回的角色名称。 您可以通过MaxCompute客户端执行 |
user_name | 是 | 指定待收回角色相应的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
使用示例
收回赋予用户ALIYUN$5527xxxxxxxx5788及RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649
及RAM$5527xxxxxxxx5788:role/ram_role的角色Worker。
--进入test_project_a项目。
use test_project_a;
--收回赋予阿里云账号的角色。
revoke Worker from ALIYUN$5527xxxxxxxx5788;
--收回赋予RAM用户的角色。
revoke Worker from RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
--收回赋予RAM角色的角色。
revoke Worker from `RAM$5527xxxxxxxx5788:role/ram_role`;
常见的授权场景及语法示例
用户授权场景 | 授权方式 | 授权人 | 授权操作入口 |
通过角色为用户授予对象的操作权限 | 先通过ACL权限控制或Policy权限控制为角色授权,再将角色赋予用户。 | 请参见权限一览表的支持的授权人列。 | |
撤销通过角色为用户授予的对象的操作权限 | |||
通过角色为用户授予Download权限 | 先通过Download权限控制为角色授权,再将角色赋予用户。 | ||
撤销通过角色为用户授予的Download权限 | |||
通过角色为用户授予访问相同高敏感等级数据的权限 | 先通过Label权限控制为角色授权,再将角色赋予用户。 | ||
撤销通过角色为用户授予的访问相同高敏感等级数据的权限 |
通过ACL授权机制或Policy授权机制为角色授权,然后将角色赋予多个用户。
更多为角色授权信息,请参见为角色授予对象的操作权限。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。现需要为三个RAM用户授予创建表、函数、实例、查看项目所有类型的对象列表的权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--将Allen、Alice、Tom添加至test_project_a项目。
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
--创建角色Worker。
create role Worker;
--为角色Worker授权。
--方式一:ACL授权。
grant CreateTable, CreateFunction, CreateInstance, List on project test_project_a to ROLE Worker;
--方式二:Policy授权。
grant CreateTable, CreateFunction, CreateInstance, List
on project test_project_a
to ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
--将角色Worker赋予用户。
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
您可以通过如下方式撤销授权:
撤销授予角色的权限
原本被赋予角色的所有用户都不再具备角色相应的权限。
收回赋予用户的角色
只有被收回角色的用户不再具备角色相应的权限。其他用户的权限不受影响。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。已为三个RAM用户通过角色Worker授予创建表、函数、实例、查看项目所有类型的对象列表的权限。现需要撤销对象的操作权限,命令示例如下。
方式一:撤销授予角色Worker的权限。
--进入test_project_a项目。
use test_project_a;
--为角色Worker撤销授权。此时Allen、Alice、Tom都不再具备CreateTable, CreateFunction, CreateInstance, List权限。
--撤销ACL授权。
revoke CreateTable, CreateFunction, CreateInstance, List on project test_project_a from ROLE Worker;
--撤销Policy授权。
revoke CreateTable, CreateFunction, CreateInstance, List
on project test_project_a
from ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
方式二:收回赋予用户的角色Worker。
--进入test_project_a项目。
use test_project_a;
--收回赋予用户的角色Worker。此时仅Allen不具备CreateTable, CreateFunction, CreateInstance, List权限。
revoke Worker from RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
通过Download授权机制为角色授权,然后将角色赋予用户。
更多为角色授权信息,请参见为角色授予Download权限。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。现需要为三个RAM用户授予下载指定表数据的权限。命令示例如下。
--Bob进入test_project_a项目。
use test_project_a;
--Bob将Allen、Alice、Tom添加至test_project_a项目。
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
--Bob创建角色Worker。
create role Worker;
--Bob为角色Worker授权。
grant download on table sale_detail to ROLE Worker;
--将角色Worker赋予用户。
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
您可以通过如下方式撤销授权:
撤销授予角色的权限
原本被赋予角色的所有用户都不再具备角色相应的权限。
收回赋予用户的角色
只有被收回角色的用户不再具备角色相应的权限。其他用户的权限不受影响。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。已为三个RAM用户通过角色Worker授予下载所有表数据的权限。现需要撤销授予用户的下载权限,命令示例如下。
方式一:撤销授予角色Worker的权限。
--进入test_project_a项目。
use test_project_a;
--为角色Worker撤销授权。此时Allen、Alice、Tom都不再具备Download权限。
revoke Download on table sale_detail from ROLE Worker;
方式二:收回赋予用户的角色Worker。
--进入test_project_a项目。
use test_project_a;
--收回赋予用户的角色Worker。此时仅Allen不再具备Download权限。
revoke Worker from RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
通过Label授权机制或Policy授权机制为角色授权,然后将角色赋予多个用户。
更多为角色授权信息,请参见为角色授予访问高敏感等级数据的权限。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。三个RAM用户的许可访问标签等级为2,现需要授予访问项目中目标表的敏感等级为4的数据权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--创建角色Worker。
create role Worker;
--为角色Worker授权。
grant Label 4 on table <table_name> to ROLE Worker; --table_name为目标表的表名称
--将角色Worker赋予用户。
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
grant Worker to RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
您可以通过如下方式撤销授权:
撤销授予角色的权限
原本被赋予角色的所有用户都不再具备角色相应的权限。
收回赋予用户的角色
只有被收回角色的用户不再具备角色相应的权限。其他用户的权限不受影响。
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。已为三个RAM用户授予访问项目中目标表的敏感等级为4的数据权限。现需要撤销用户的访问高敏感等级数据权限,命令示例如下。
方式一:撤销授予角色Worker的权限。
--进入test_project_a项目。
use test_project_a;
--为角色Worker撤销授权。此时Allen、Alice、Tom仅能访问最高敏感等级为2的数据。
revoke Label on table <table_name> from ROLE Worker; --table_name为目标表的表名称
方式二:收回赋予用户的角色Worker。
--进入test_project_a项目。
use test_project_a;
--收回赋予用户的角色Worker。此时Allen仅能访问最高敏感等级为2的数据,Alice、Tom仍然可以访问最高敏感等级为4的数据。
revoke Worker from RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
MaxCompute支持直接为用户授权,常见的授权场景及语法示例如下。
将用户添加进MaxCompute项目,请参见用户规划与管理。
当用户被移除项目时,需要及时清理遗留权限信息,请参见彻底清除被删除用户遗留的权限信息
用户授权场景 | 授权方式 | 授权人 | 授权操作入口 |
为用户授予对象的操作权限 | 请参见权限一览表的支持的授权人列。 | ||
撤销为用户授予的对象的操作权限 | |||
为用户授予Download权限 | |||
撤销为用户授予的Download权限 | |||
为用户授予访问高敏感等级数据的权限 | |||
撤销为用户授予的访问高敏感等级数据的权限 |
通过ACL授权机制为用户授予项目、表、资源、函数或实例的操作权限。
命令格式
grant Read|Write|List|CreateTable|CreateInstance|CreateFunction|CreateResource|All
on project <project_name>
to USER <user_name> [privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];
参数说明
参数名称 | 是否必填 | 说明 | |
project_name | 是 | 项目名称:您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。 | |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
grant Describe|Select|Alter|Update|Drop|ShowHistory|All
on table <table_name> [(<column_list>)]
to USER <user_name> [privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];
参数说明
参数名称 | 是否必填 | 说明 | |
table_name | 是 | 表名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
grant Read|Write|Delete|All
on resource <resource_name>
to USER <user_name> [privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];
参数说明
参数名称 | 是否必填 | 说明 | |
resource_name | 是 | 资源名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
grant Read|Write|Delete|Execute|All
on function <function_name>
to USER <user_name> [privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];
参数说明
参数名称 | 是否必填 | 说明 | |
function_name | 是 | 函数名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
grant Read|Write|All
on instance <instance_id>
to USER <user_name> [privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];
参数说明
参数名称 | 是否必填 | 说明 | |
instance_id | 是 | 实例ID:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
假设ALIYUN$5527xxxxxxxx5789是test_project_a的项目所有者,Allen、Alice、Tom是隶属于ALIYUN$5527xxxxxxxx5789的RAM用户。RAM$5527xxxxxxxx5789:role/ram_role是隶属于ALIYUN$5527xxxxxxxx5789的RAM角色。ALIYUN$5527xxxxxxxx5788是其他阿里云账号,待加入test_project_a项目。
示例一:为阿里云账号Kate授予在项目中创建表、函数、实例、查看项目所有类型的对象列表的权限。
--ALIYUN$5527xxxxxxxx5789进入test_project_a项目。
use test_project_a;
--将ALIYUN$5527xxxxxxxx5788加入MaxCompute项目。
add user ALIYUN$5527xxxxxxxx5788;
--ALIYUN$5527xxxxxxxx5789为ALIYUN$5527xxxxxxxx5788授权。
grant CreateTable, CreateFunction, CreateInstance, List on project test_project_a to user ALIYUN$5527xxxxxxxx5788;
示例二:为RAM用户Allen、RAM角色授予在项目中创建表、查看项目所有类型、读取表的元信息和表数据的权限。
--进入test_project_a项目。
use test_project_a;
--将Allen添加至test_project_a项目。
add user RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1649;
--将RAM角色添加至test_project_a项目。
add user `RAM$5527xxxxxxxx5789:role/ram_role`;
--为RAM用户Allen授权。
grant CreateTable, List on project test_project_a to USER RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1649;
grant Describe, Select on table sale_detail to USER RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1649;
--为RAM角色授权。
grant CreateTable, List on project test_project_a to USER `RAM$5527xxxxxxxx5789:role/ram_role`;
grant Describe, Select on table sale_detail to USER `RAM$5527xxxxxxxx5789:role/ram_role`;
示例三:为RAM用户Alice授予读取、更新资源的权限。
--进入test_project_a项目。
use test_project_a;
--将Alice添加至test_project_a项目。
add user RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1650;
--为Alice授权。
grant Read, Write on resource udtf.jar to USER RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1650;
示例四:为RAM用户Tom授予读取、更新函数的权限。
--进入test_project_a项目。
use test_project_a;
--将Tom添加至test_project_a项目。
add user RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1651;
--为Tom授权。
grant Read, Write on function udf_test to USER RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1651;
示例五:为RAM用户Tom授予实例的所有操作权限。
--进入test_project_a项目。
use test_project_a;
--将Tom添加至test_project_a项目。
add user RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
--为Tom授权。
grant All on instance 202112300224**** to USER RAM$5527xxxxxxxx5789:2763xxxxxxxxxx1651;
撤销为用户授予的项目、表、资源、函数或实例的操作权限。
命令格式
revoke Read|Write|List|CreateTable|CreateInstance|CreateFunction|CreateResource|All
on project <project_name>
from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 | |
project_name | 是 | 项目名称:您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。 | |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
revoke Describe|Select|Alter|Update|Drop|ShowHistory|All
on table <table_name> [(<column_list>)]
from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 | |
table_name | 是 | 表名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
revoke Read|Write|Delete|All
on resource <resource_name>
from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 | |
resource_name | 是 | 资源名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
revoke Read|Write|Delete|Execute|All
on function <function_name>
from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 | |
function_name | 是 | 函数名称:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
命令格式
revoke Read|Write|All
on instance <instance_id>
from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 | |
instance_id | 是 | 实例ID:您可以通过MaxCompute客户端执行 | |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 | |
privilegeproperties | conditions | 否 | 从请求消息来源及访问方式等维度进行权限控制。格式为 |
days | 否 | 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。 |
撤销为阿里云用户、RAM用户授予的对象的操作权限。命令示例如下。
示例一:撤销为Kate授予的在项目中创建表、函数、实例、查看项目所有类型的对象列表的权限。
--进入test_project_a项目。
use test_project_a;
--为阿里云用户撤销授权。
revoke CreateTable, CreateFunction, CreateInstance, List on project test_project_a from user ALIYUN$5527xxxxxxxx5788;
示例二:撤销为RAM用户Allen授予的读取表的元信息和表数据的权限。
--进入test_project_a项目。
use test_project_a;
--为Allen撤销授权。
revoke Describe, Select on table sale_detail from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
示例三:撤销为RAM用户Alice授予的读取、更新资源的权限。
--进入test_project_a项目。
use test_project_a;
--为Alice撤销授权。
revoke Read, Write on resource udtf.jar from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1650;
示例四:撤销为RAM用户Tom授予的读取、更新函数的权限。
--进入test_project_a项目。
use test_project_a;
--为Tom撤销授权。
revoke Read, Write on function udf_test from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
示例五:撤销为RAM用户Tom授予的实例的所有操作权限。
--进入test_project_a项目。
use test_project_a;
--为Tom撤销授权。
revoke All on instance 202112300224**** from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1651;
为用户授予下载表数据、资源、函数或实例的权限。
命令格式
grant Download on {Table|Resource|Function|Instance} <object_name> to USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 |
object_name | 是 | 指定被授予的对象的名称。获取方式如下:
|
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
使用示例
假设test_project_a项目开启了Download权限管控,需要为用户Allen授予下载指定表数据的权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--为Allen授权。
grant Download on table sale_detail to USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
撤销为用户授予的下载表数据、资源、函数或实例的权限。
命令格式
revoke Download on {Table|Resource|Function|Instance} <object_name> from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 |
object_name | 是 | 指定待回收权限的对象的名称。获取方式如下:
|
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
使用示例
撤销为用户Allen授予的下载指定表数据的权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--为Allen撤销授权。
revoke Download on table sale_detail from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
通过Label授权机制为用户授予访问高敏感等级数据的权限。
命令格式
grant Label <number> on table <table_name> [(<column_list>)] to USER <user_name> [with exp <days>];
参数说明
参数名称 | 是否必填 | 说明 |
number | 是 | 指定用户或角色可访问的最高数据敏感等级。 取值范围为0~9,与数据敏感等级标签相对应。 |
table_name | 是 | 指定目标表或视图的名称。 您可以通过MaxCompute客户端执行 |
column_list | 否 | 当需要授予目标表或视图中指定列的访问权限时,需要配置该参数。单次授权可以指定多个列名,列名之间用英文逗号(,)分隔。 |
user_name | 是 | 指定待绑定角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
days | 否 | 指定权限过期时间,单位为天。取值范围为:0~263-1。不指定该参数时,默认过期时间为180天。 |
使用示例
假设test_project_a项目中,用户Allen的许可访问标签等级为2,现需要为用户授予访问sale_detail表中最高敏感等级为4的数据权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--为用户Allen授权。
grant Label 4 on table sale_detail to USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
命令格式
revoke Label <number> on table <table_name> [(<column_list>)] from USER <user_name>;
参数说明
参数名称 | 是否必填 | 说明 |
number | 是 | 指定用户或角色待回收访问权限的最高数据敏感等级。 取值范围为0~9,与数据敏感等级标签相对应。 |
table_name | 是 | 指定待回收访问权限的目标表或视图的名称。 您可以通过MaxCompute客户端执行 |
column_list | 否 | 当需要撤销目标表或视图中指定列的访问权限时,需要配置该参数。单次授权可以指定多个列名,列名之间用英文逗号(,)分隔。 |
user_name | 是 | 指定待收回角色的已加入MaxCompute项目的用户名称,格式如下: 您可以通过MaxCompute客户端执行 |
使用示例
撤销为用户Allen授予的访问sale_detail表中最高敏感等级为4的数据权限。命令示例如下。
--进入test_project_a项目。
use test_project_a;
--为用户Allen撤销授权。
revoke Label 4 on table sale_detail from USER RAM$5527xxxxxxxx5788:2763xxxxxxxxxx1649;
用户被移出项目后,ACL、Policy、Label等权限数据还留存在项目中。当移出的用户又再次进入该项目时,将会拥有原来的ACL、Policy、Label等权限,即用户如果被误删,被重新加回项目时可以直接使用原先保留的权限。但是,如果用户以不同的身份被加回原项目时,会有潜在的数据安全风险。
基于如上背景,MaxCompute提供清空用户权限的功能,如果用户已经不在项目中,但有ACL、Policy、Label等权限的,项目所有者或拥有Admin、Super_Administrator角色的用户可以执行如下命令清除遗留的权限信息。
命令格式
purge privs from user <user_name>;
参数说明
如果未将用户移出项目,执行该命令会返回"Principal <username> still exist in the project"
报错。因此需要先使用remove user <user_name>
命令将用户移出项目。
完成用户授权后,您可以查询用户授权信息,请参见查询用户权限信息。