溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關MaxCompute/DataWorks權限問題排查建議是怎樣的,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
__前提:__MaxCompute與DataWorks為兩個產品,在權限體系上既有交集又要一定的差別。在權限問題之前需了解兩個產品獨特的權限體系。
MaxCompute底層計算引擎有自己的安全權限體系,包括ACL、Policy授權體系。具體可以了解: https://help.aliyun.com/document_detail/27924.html
cdn.nlark.com/lark/0/2018/png/26173/1545360736789-995dc63f-bfae-4744-81e4-30c848b568e4.png">
DataWorks為MaxCompute上層的云數倉開發工具,擁有自身的權限模型外還支持底層MaxCompute底層數據授權體系。具體詳見: https://help.aliyun.com/document_detail/92594.html
通過MaxCompute Console命令list roles;可以看到角色體系,role_開頭都為DataWorks基于MaxCompute封裝的角色及權限體系。介紹如下:
rolename | 對應產品及權限名稱 |
admin | MaxCompute底層引擎默認admin角色 |
role_project_admin | DataWorks項目管理員 |
role_project_deploy | DataWorks部署角色 |
role_project_dev | DataWorks開發角色 |
role_project_guest | DataWorks訪客角色 |
role_project_pe | DataWorks運維角色 |
role_project_scheduler | DataWorks生產代持賬號 |
role_project_security | DataWorks安全管理員 |
__admin:__MaxCompute計算引擎的默認admin角色,可以訪問項目空間內的所有對象、對用戶或角色進行管理、對用戶或角色進行授權。與項目空間 Owner 相比,admin 角色不能將 admin 權限指派給用戶,不能設定項目空間的安全配置,不能修改項目空間的鑒權模型,admin 角色所對應的權限不能被修改。一般情況下,如未修改過權限,一般情況下admin角色用戶只有一個為project owner賬號。
odps@ clouder_bi>describe role admin; [users] ALIYUN$***@aliyun-test.com Authorization Type: Admin
MaxCompute project owner可以將admin角色授予其他子賬號,用于進行MaxCompute底層的權限模型管理。
role_開頭的角色也可以通過describe role 方式查看其角色所具備的權限點及角色里的用戶列表。以開發者角色為例:
odps@ clouder_bi>describe role role_project_dev; [users] RAM$yangyi.pt@aliyun-test.com:yangyitest Authorization Type: Policy A projects/clouder_bi: * A projects/clouder_bi/instances/*: * A projects/clouder_bi/jobs/*: * A projects/clouder_bi/offlinemodels/*: * A projects/clouder_bi/packages/*: * A projects/clouder_bi/registration/functions/*: * A projects/clouder_bi/resources/*: * A projects/clouder_bi/tables/*: * A projects/clouder_bi/volumes/*: *
在普及完兩個產品的權限體系之外,更多的用戶會遇到各種權限的疑問或者問題。通常可以通過如下方式來排查:
首先,查看當前用戶或指定用戶所擁有的權限。
show grants; --查看當前用戶自己的訪問權限 show grants for <username>; --查看指定用戶的訪問權限,僅由ProjectOwner和Admin才能有執行權限 。 show grants for RAM$主帳號:子帳號;
可以看到用戶所具有的角色及相關權限點。
查看指定對象的授權列表,一般獲取表到人。
show acl for <objectName> [on type <objectType>];--查看指定對象上的用戶和角色授權列表 支持的objecTtype: PROJECT, TABLE, JOB, VOLUME, INSTANCE, RESOURCE, FUNCTION,PACKAGE,TOPOLOGY,MATRIX,XFLOW,OFFLINEMODEL,STREAMJOB
查看ACL是否生效(常常發生在授權之后返回OK,但是權限校驗還是失敗)
show SecurityConfiguration;--查看項目空間的安全配置
除了通過命令行方式,也可以通過__++DataWorks>項目管理>MaxCompute高級配置++__里的ACL開關來確認是否打開。
policy授權一般常見有兩種,一個是項目級別的,一個是role級別的。
get policy;--獲取項目級別的policy配置; get policy on role <rolename>;--獲取指定的role policy設置。
上述就是小編為大家分享的MaxCompute/DataWorks權限問題排查建議是怎樣的了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
