Policy权限控制

使用Policy权限控制方案前，请您确认已记录好如下信息：

• 被授权角色的名称，且角色已添加至MaxCompute项目。

  您可以通过MaxCompute客户端执行list roles;命令获取角色信息。

  如果需要新增角色，请参见角色规划。

• 授权对象类型、对象名称及操作。

  更多对象类型及操作信息，请参见MaxCompute权限。

使用Policy权限控制功能的注意事项如下：

• 当白名单和黑名单授权信息同时存在时，遵循黑名单优先原则。

• Policy权限控制允许对不存在的对象授权，当删除对象时，与该对象关联的Policy授权信息不会被删除，授权人需要注意删除并重建同名对象所带来的安全风险。

• 当一个用户被移除后，与该用户有关的授权仍然会被保留。一旦该用户以后被再次添加到该项目时，该用户的历史授权访问权限将被重新激活。如果需要彻底清除用户的权限信息，请参见彻底清除被删除用户遗留的权限信息。

Policy权限控制命令格式如下：

• Policy授权

  grant <actions> on <object_type> <object_name> 
  to ROLE <role_name> 
  privilegeproperties("policy" = "true", "allow"="{true|false}"[, "conditions"= "<conditions>" ]);

• 撤销Policy授权

  revoke <actions> on <object_type> <object_name> 
  from ROLE <role_name> 
  privilegeproperties ("policy" = "true", "allow"="{true|false}");

参数说明如下。

假设Bob@aliyun.com是test_project_a的项目所有者，Allen、Tom是隶属于bob@aliyun.com的RAM用户。Allen已被赋予test_project_a项目的Admin角色。以MaxCompute客户端操作为例，授权示例如下：

• 示例一：基于角色为用户授权（黑名单）

  禁止Tom删除以tb_开头的表。

  • 通过ACL命令实现Policy授权示例如下：

    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将用户Tom添加为项目成员。
    add user RAM$Bob@aliyun.com:Tom;
    --将角色Worker绑定至用户Tom。
    grant Worker TO RAM$Bob@aliyun.com:Tom; 
    --禁止角色Worker删除项目test_project_a中以tb_开头的表。
    grant Drop on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "allow"="false");
    --查看用户Tom的授权结果。
    show grants for RAM$Bob@aliyun.com:Tom; 
    --授权结果如下。D表示禁止，禁止删除以tb_开头的表。
    Authorization Type: Policy
    [role/worker]
    D      projects/test_project_a/tables/tb_*: Drop

  • 通过控制台实现Policy授权示例如下：

    1. 登录MaxCompute控制台，在左上角选择地域。

    2. 在左侧导航栏单击项目管理。

    3. 在项目管理页面，单击目标项目操作列的管理。

    4. 在角色权限页签，单击新增项目级别角色。

    5. 在新建角色对话框，创建资源操作类（Resource）角色，填写角色名称和Policy授权策略。

       Policy内容如下：

       {
           "Statement":[
               {
                   "Action":[
                       "odps:Drop"
                   ],
                   "Effect":"Deny",
                   "Resource":[
                       "acs:odps:*:projects/test_project_a/tables/tb_*"
                   ]
               }
           ],
           "Version":"1"
       }

    6. 在角色权限页签，单击新建角色操作列的成员管理，将RAM$Bob@aliyun.com:Tom添加至新建角色。

• 示例二：撤销Policy授权（黑名单）

  基于示例一，撤销对用户Tom的授权。

  --Bob进入项目test_project_a。
  use test_project_a; 
  --收回用户Tom绑定的角色Worker。
  revoke Worker from RAM$Bob@aliyun.com:Tom;
  --查看用户Tom的授权结果。权限列表无Drop权限信息。
  show grants for RAM$Bob@aliyun.com:Tom; 

• 示例三：基于角色为用户授权（白名单）

  允许Tom修改以tb_开头的表的数据。

  • 通过ACL命令实现Policy授权示例如下：

    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将用户Tom添加为项目成员。
    add user RAM$Bob@aliyun.com:Tom;
    --将角色Worker绑定至用户Tom。
    grant Worker TO RAM$Bob@aliyun.com:Tom; 
    --允许角色Worker修改项目test_project_a中以tb_开头的表的数据。
    grant Update on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
    --查看用户Tom的授权结果。
    show grants for RAM$Bob@aliyun.com:Tom; 
    --授权结果如下。A表示允许，可以更新以tb_开头的表的数据。
    Authorization Type: Policy
    [role/worker]
    A       projects/test_project_a/tables/tb_*: Update

  • 通过控制台实现Policy授权示例如下：

    1. 登录MaxCompute控制台，在左上角选择地域。

    2. 在左侧导航栏单击项目管理。

    3. 在项目管理页面，单击目标项目操作列的管理。

    4. 在角色权限页签，单击新增项目级别角色。

    5. 在新建角色对话框，创建资源操作类（Resource）角色，填写角色名称和Policy授权策略。

       Policy内容如下：

       {
           "Statement":[
               {
                   "Action":[
                       "odps:Update"
                   ],
                   "Effect":"Allow",
                   "Resource":[
                       "acs:odps:*:projects/test_project_a/tables/tb_*"
                   ]
               }
           ],
           "Version":"1"
       }

    6. 在角色权限页签，单击新建角色操作列的成员管理，将RAM$Bob@aliyun.com:Tom添加至新建角色。

• 示例四：撤销Policy授权（白名单）

  基于示例三，撤销对用户Tom的授权。

  --Bob进入项目test_project_a。
  use test_project_a; 
  --收回用户Tom绑定的角色Worker。
  revoke Worker from RAM$Bob@aliyun.com:Tom;
  --查看用户Tom的授权结果。权限列表无Update权限信息。
  show grants for RAM$Bob@aliyun.com:Tom; 

• 示例五：为具备内置角色的用户进行精细化授权

  禁止Allen删除项目test_project_a中的所有表。

  • 通过ACL命令实现Policy授权示例如下：

    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将角色Worker绑定至用户Allen。
    grant Worker TO RAM$Bob@aliyun.com:Allen; 
    --禁止角色Worker删除项目test_project_a中的所有表。
    grant Drop on table * to ROLE Worker privilegeproperties("policy" = "true", "allow"="false");
    --查看用户Allen的授权结果。
    show grants for RAM$Bob@aliyun.com:Allen; 
    --授权结果如下。禁止删除所有表。
    [roles]
    role_project_admin, worker
    
    Authorization Type: Policy
    [role/role_project_admin]
    A       projects/test_project_a: *
    A       projects/test_project_a/instances/*: *
    A       projects/test_project_a/jobs/*: *
    A       projects/test_project_a/offlinemodels/*: *
    A       projects/test_project_a/packages/*: *
    A       projects/test_project_a/registration/functions/*: *
    A       projects/test_project_a/resources/*: *
    A       projects/test_project_a/tables/*: *
    A       projects/test_project_a/volumes/*: *
    
    [role/worker]
    A       projects/test_project_a/tables/tb_*: Update
    D       projects/test_project_a/tables/*: Drop
    --AG中的A表示Allow，G表示With Grant Option，即允许对客体（Object）进行授权
    Authorization Type: ObjectCreator
    AG      projects/test_project_a/tables/local_test: All
    AG      projects/test_project_a/tables/mr_multiinout_out1: All
    AG      projects/test_project_a/tables/mr_multiinout_out2: All
    AG      projects/test_project_a/tables/ramtest: All
    AG      projects/test_project_a/tables/wc_in: All
    AG      projects/test_project_a/tables/wc_in1: All
    AG      projects/test_project_a/tables/wc_in2: All
    AG      projects/test_project_a/tables/wc_out: All

  • 通过控制台实现Policy授权示例如下：

    1. 登录MaxCompute控制台，在左上角选择地域。

    2. 在左侧导航栏单击项目管理。

    3. 在项目管理页面，单击目标项目操作列的管理。

    4. 在角色权限页签，单击新增项目级别角色。

    5. 在新建角色对话框，创建资源操作类（Resource）角色，填写角色名称和Policy授权策略。

       Policy内容如下：

       {
           "Statement":[
               {
                   "Action":[
                       "odps:Drop"
                   ],
                   "Effect":"Deny",
                   "Resource":[
                       "acs:odps:*:projects/test_project_a/tables/*"
                   ]
               }
           ],
           "Version":"1"
       }

    6. 在角色权限页签，单击新建角色操作列的成员管理，将RAM$Bob@aliyun.com:Allen添加至新建角色。

• 示例六：为具备内置角色的用户撤销授权

  基于示例五，撤销对用户Allen的授权。命令示例如下。

  --Bob进入项目test_project_a。
  use test_project_a; 
  --收回用户Allen绑定的角色Worker。
  revoke Worker from RAM$Bob@aliyun.com:Allen;
  --查看用户Allen的授权结果。权限列表无Drop权限信息。
  show grants for RAM$Bob@aliyun.com:Allen; 

• 示例七：基于角色为用户（Tom）授予查询所有表的权限（白名单）

  • 通过ACL命令实现Policy授权示例如下：

    --Bob进入项目test_project_a。
    use test_project_a;
    --创建角色Worker。
    create role Worker;
    --将用户Tom添加为项目成员。
    add user RAM$Bob@aliyun.com:Tom;
    --将角色Worker绑定至用户Tom。
    grant Worker TO RAM$Bob@aliyun.com:Tom;
    --允许角色Worker查询项目test_project_a中的所有表。
    grant Describe,select on table * to ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
    --查看用户Tom的授权结果。
    show grants for RAM$Bob@aliyun.com:Tom;
    --授权结果如下。A表示允许，允许查询项目test_project_a中的所有表。
    Authorization Type: Policy
    [role/worker]
    A      projects/test_project_a/tables/*: Describe | Select

  • 通过控制台实现Policy授权示例如下：

    1. 登录MaxCompute控制台，在左上角选择地域。

    2. 在左侧导航栏单击项目管理。

    3. 在项目管理页面，单击目标项目操作列的管理。

    4. 在角色权限页签，单击新增项目级别角色。

    5. 在新建角色对话框，创建资源操作类（Resource）角色，填写角色名称和Policy授权策略。

       Policy内容如下：

       {
           "Statement":[
               {
                   "Action":[
                       "odps:Describe",
                       "odps:Select"
                   ],
                   "Effect":"Allow",
                   "Resource":[
                       "acs:odps:*:projects/test_project_a/tables/*"
                   ]
               }
           ],
           "Version":"1"
       }

    6. 在角色权限页签，单击新建角色操作列的成员管理，将RAM$Bob@aliyun.com:Tom添加至新建角色。

了解Policy授权机制后，您可以根据实际业务需要执行授权相关操作：

• 项目级别角色授权

• 通过命令管理用户权限

• 查询用户、角色或对象的权限信息