Присоединяйтесь к нам на онлайн-конференции Alibaba Cloud ACtivate, которая пройдет 5–6 марта, чтобы бросить вызов предположениям, обменяться идеями и узнать, какие возможности дает цифровая трансформация.
Alibaba Cloud MaxCompute и DataWorks — это два независимых продукта, и их системы разрешений имеют как сходства, так и различия. Прежде чем решать проблемы с разрешениями, вы должны сначала понять соответствующие системы разрешений этих двух продуктов.
Системы разрешений MaxCompute и DataWorks
MaxCompute
MaxCompute имеет собственные системы безопасности, включая ACL и системы авторизации на основе политик. Для получения дополнительной информации посетите https://www.alibabacloud.com/help/doc-detail/27924.htm.
ДатаВоркс
DataWorks — это инструмент разработки облачного хранилища верхнего уровня для MaxCompute. Он имеет собственную модель разрешений и поддерживает базовую систему авторизации данных MaxCompute. Для получения дополнительной информации посетите https://www.alibabacloud.com/help/doc-detail/92594.htm.
Просмотр ролей на MaxCompute
Запустите «список ролей» на консоли MaxCompute, чтобы просмотреть систему ролей MaxCompute. Элементы, начинающиеся с «role_», — это роли, инкапсулированные DataWorks на основе MaxCompute. Роли описываются следующим образом:
Имя ролиСоответствующий продукт и разрешениеadminАдминистратор MaxCompute по умолчанию rolerole_project_adminАдминистратор проекта DataWorksrole_project_deployРоль развертывателя DataWorksrole_project_devDataWorks developer rolerole_project_guestDataWorks guest rolerole_project_peDataWorks O&M rolerole_project_schedulerDataWorks планировщик аккаунтrole_project_securityDataWorks securityadmin
Роль администратора — это роль администратора MaxCompute по умолчанию. Эта роль может получить доступ ко всем объектам в проекте, а также управлять и авторизовать пользователей или роли. По сравнению с владельцем проекта роль администратора не может назначать права администратора любому пользователю, указывать конфигурации безопасности проекта или изменять модель аутентификации проекта. Разрешения роли администратора не могут быть изменены. Как правило, если разрешения не изменены, пользователь, которому назначена роль администратора, имеет только одну учетную запись «владелец проекта».
odps@ clouder_bi>describe role admin;
[users]
ALIYUN$***@aliyun-test.com
Authorization Type: AdminВладелец проекта MaxCompute может назначить роль администратора другим дочерним учетным записям, что позволит им управлять моделью разрешений для MaxCompute.
Вы можете запустить «describe role», чтобы просмотреть разрешения и список пользователей роли, которая начинается с «role_». Используя role_project_dev в качестве примера:
odps@clouder_bi›описать роль role_project_dev;
[users] [email protected]:yangyitestAuthorization Type: Policy A projects/clouder_bi: * A projects/clouder_bi/instances/*: * A projects/clouder_bi/jobs/*: * A projects/clouder_bi/offlinemodels/*: * A projects/clouder_bi/packages/*: * A projects/clouder_bi/registration/functions/*: * A projects/clouder_bi/resources/*: * A projects/clouder_bi/tables/*: * A projects/clouder_bi/volumes/*: *
Устранение неполадок, связанных с разрешениями
Изучив системы разрешений двух продуктов, вы сможете устранять проблемы, связанные с разрешениями, следующим образом:
Просмотр разрешений, предоставленных текущему пользователю или указанному пользователю
Выполнив приведенные ниже команды, вы можете увидеть роли и разрешения пользователя.
show grants; --View permissions of the current user.
show grants for <username>; --View access permissions of a specified user. Only the project owner and admin are authorized to perform this operation.
show grants for RAM$Primary account:Sub-account;
Просмотр списка авторизации указанного объекта
Как правило, отображается список пользователей, которым разрешен доступ к текущей таблице.
show acl for <objectName> [on type <objectType>];--View the list of authorized users and roles of a specified object
Supported object types: project, table, job, volume, instance, resource, function, package, topology, matrix, xflow, offline model, and stream job
Проверка эффективности ACL
Проверка разрешения часто завершается ошибкой, даже если после авторизации возвращается OK.
show SecurityConfiguration;--View the security configuration of the project
Помимо командной строки, проверить, включен ли переключатель ACL, можно на странице + +DataWorks › Project Management › MaxCompute Config+.
Запрос конфигурации политики текущего проекта
Существует два распространенных типа авторизации политики: на уровне проекта и на уровне роли.
get policy;--Obtain the project-level policy configuration
get policy on role <rolename>;--Obtain the policy configuration of the specified role