MaxCompute支持通过Policy权限控制方案,允许或禁止角色对指定对象执行指定操作,将角色绑定至用户后,用户权限即可生效。本文为您介绍MaxCompute支持的Policy授权命令,并提供授权示例供参考。

背景信息

Policy权限控制支持白名单和黑名单两种授权机制,即允许(Allow:白名单)或禁止(Deny:黑名单)角色对指定对象执行指定操作。

该授权方式可以弥补ACL授权机制无法解决的授权问题。例如用户已经被赋予了开发角色,默认具备删除表的权限,但如果需要禁止用户执行删除表操作,可以通过Policy方式进行授权。

创建MaxCompute项目后,Policy权限控制功能开关默认为打开状态。项目所有者(Project Owner)可以在MaxCompute项目中执行set CheckPermissionUsingPolicy=true|false;命令,开启或关闭Policy权限控制功能。

Policy权限控制适用于如下场景。

场景 说明 授权人 授权操作入口
基于角色为用户授权 直接为单个角色,授予允许或禁止角色对指定对象执行单个或多个操作的权限,然后再将角色绑定至多个用户,用户即可具备角色的权限。 请参见权限一览表的支持的授权人列。
为被赋予内置角色的用户通过自定义角色进行精细化授权 当用户已经被赋予内置角色时,如果需要对用户的操作权限进行更精细化的管理,无法通过ACL权限控制方案解决此类授权问题。此时,您可以通过Policy权限控制方案,新增角色,允许或禁止角色操作项目中的对象,并将角色绑定至用户后,即可实现精细化管控用户权限。

前提条件

使用Policy权限控制方案前,请您确认已记录好如下信息:
  • 被授权角色的名称,且角色已添加至MaxCompute项目。

    您可以通过MaxCompute客户端执行list roles;命令获取角色信息。

    如果需要新增角色,请参见角色规划与管理

  • 授权对象类型、对象名称及操作。

    更多对象类型及操作信息,请参见权限列表

使用限制

Policy权限控制只支持对已存在的角色进行授权。

注意事项

使用Policy权限控制功能的注意事项如下:
  • 当白名单和黑名单授权信息同时存在时,遵循黑名单优先原则。
  • Policy权限控制允许对不存在的对象授权,当删除对象时,与该对象关联的Policy授权信息不会被删除,授权人需要注意删除并重建同名对象所带来的安全风险。
  • 当一个用户被移除后,与该用户有关的授权仍然会被保留。一旦该用户以后被再次添加到该项目时,该用户的历史授权访问权限将被重新激活。如果需要彻底清除用户的权限信息,请参见彻底清除被删除用户遗留的权限信息

命令格式

Policy权限控制命令格式如下:
  • Policy授权
    grant <actions> on <object_type> <object_name> 
    to ROLE <role_name> 
    privilegeproperties("policy" = "true", "{allow|deny}"="{true|false}"[, "conditions"= "<conditions>" ,"expires"="<days>"]);
  • 撤销Policy授权
    revoke <actions> on <object_type> <object_name> 
    from ROLE <role_name> 
    privilegeproperties ("policy" = "true", "{allow|deny}"="{true|false}");
参数说明如下。
参数名称 是否必填 说明
actions 指定被授予的操作权限名称。单次授权可以指定多个操作。

当有多个操作时,多个操作名称之间使用英文逗号(,)分隔。操作取值请参见权限列表

object_type 指定被授予的对象类型,即客体。单次授权只能指定一个客体。

客体取值请参见权限列表

object_name 指定被授予的对象的名称。获取方式如下:
  • 项目名称:您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。
  • 表名称:您可以通过MaxCompute客户端执行show tables;命令获取表或视图名称。
  • 资源名称:您可以通过MaxCompute客户端执行list resources;命令获取资源名称。
  • 函数名称:您可以通过MaxCompute客户端执行list functions;命令获取函数名称。
  • 实例名称:您可以通过MaxCompute客户端执行show instances;命令获取实例ID。

授权对象支持以通配符星号(*)来表达。例如,table taobao*表示所有以taobao开头的表。

role_name 指定被授权的角色名称。单次授权只能指定一个角色。

您可以通过MaxCompute客户端执行list roles;命令获取角色名称。

privilegeproperties policy 固定取值为true。表示使用Policy权限控制方案。
allow 白名单授权必填 指定白名单授权机制。取值范围如下:
  • true:表示允许对指定对象执行指定操作。
  • false:表示不允许对指定对象执行指定操作。
deny 黑名单授权必填 指定黑名单授权机制。取值范围如下:
  • true:表示禁止对指定对象执行指定操作。
  • false:表示不禁止对指定对象执行指定操作。
conditions 从请求消息来源及访问方式等维度进行权限控制。详细参数取值请参见Conditions
days 指定权限过期时间,单位为天。未指定该参数时,权限默认长期有效。指定该参数时,权限到期后,MaxCompute会自动清除权限信息。

Policy权限控制示例

假设Bob@aliyun.com是test_project_a的项目所有者,Allen、Tom是隶属于bob@aliyun.com的RAM用户。Allen已被赋予test_project_a项目的Admin角色。以MaxCompute客户端操作为例,授权示例如下:
  • 示例一:基于角色为用户授权(黑名单)
    允许Tom删除以tb_开头的表。命令示例如下。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将用户Tom添加为项目成员。
    add user RAM$Bob@aliyun.com:Allen;
    --将角色Worker绑定至用户Tom。
    grant Worker TO RAM$Bob@aliyun.com:Allen; 
    --允许角色Worker删除项目test_project_a中以tb_开头的表。
    grant Drop on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "deny"="false");
    --查看用户Tom的授权结果。
    show grants for RAM$Bob@aliyun.com:Tom; 
    --授权结果如下。A表示不禁止,可以删除以tb_开头的表。
    Authorization Type: Policy
    [role/worker]
    A       projects/test_project_a/tables/tb_*: Drop
  • 示例二:撤销Policy授权(黑名单)
    基于示例一,撤销对用户Tom的授权。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --收回用户Tom绑定的角色Worker。
    revoke Worker from RAM$Bob@aliyun.com:Tom;
    --查看用户Top的授权结果。权限列表无Drop权限信息。
    show grants for RAM$Bob@aliyun.com:Top; 
  • 示例三:基于角色为用户授权(白名单)
    允许Tom修改以tb_开头的表的数据。命令示例如下。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将用户Tom添加为项目成员。
    add user RAM$Bob@aliyun.com:Tom;
    --将角色Worker绑定至用户Tom。
    grant Worker TO RAM$Bob@aliyun.com:Tom; 
    --允许角色Worker修改项目test_project_a中以tb_开头的表的数据。
    grant Update on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
    --查看用户Tom的授权结果。
    show grants for RAM$Bob@aliyun.com:Tom; 
    --授权结果如下。A表示允许,可以更新以tb_开头的表的数据。
    Authorization Type: Policy
    [role/worker]
    A       projects/test_project_a/tables/tb_*: Update
  • 示例四:撤销Policy授权(白名单)
    基于示例三,撤销对用户Tom的授权。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --收回用户Tom绑定的角色Worker。
    revoke Worker from RAM$Bob@aliyun.com:Tom;
    --查看用户Tom的授权结果。权限列表无Update权限信息。
    show grants for RAM$Bob@aliyun.com:Tom; 
  • 示例五:为具备内置角色的用户进行精细化授权
    禁止Allen删除项目test_project_a中的所有表。命令示例如下。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建角色Worker。
    create role Worker; 
    --将角色Worker绑定至用户Allen。
    grant Worker TO RAM$Bob@aliyun.com:Allen; 
    --禁止角色Worker删除项目test_project_a中的所有表。
    grant Drop on table * to ROLE Worker privilegeproperties("policy" = "true", "allow"="false");
    --查看用户Allen的授权结果。
    show grants for RAM$Bob@aliyun.com:Allen; 
    --授权结果如下。禁止删除所有表。
    [roles]
    role_project_admin, worker
    
    Authorization Type: Policy
    [role/role_project_admin]
    A       projects/test_project_a: *
    A       projects/test_project_a/instances/*: *
    A       projects/test_project_a/jobs/*: *
    A       projects/test_project_a/offlinemodels/*: *
    A       projects/test_project_a/packages/*: *
    A       projects/test_project_a/registration/functions/*: *
    A       projects/test_project_a/resources/*: *
    A       projects/test_project_a/tables/*: *
    A       projects/test_project_a/volumes/*: *
    
    [role/worker]
    A       projects/test_project_a/tables/tb_*: Update
    D       projects/test_project_a/tables/*: Drop
    
    Authorization Type: ObjectCreator
    AG      projects/test_project_a/tables/local_test: All
    AG      projects/test_project_a/tables/mr_multiinout_out1: All
    AG      projects/test_project_a/tables/mr_multiinout_out2: All
    AG      projects/test_project_a/tables/ramtest: All
    AG      projects/test_project_a/tables/wc_in: All
    AG      projects/test_project_a/tables/wc_in1: All
    AG      projects/test_project_a/tables/wc_in2: All
    AG      projects/test_project_a/tables/wc_out: All
  • 示例六:为具备内置角色的用户撤销授权
    基于示例五,撤销对用户Allen的授权。命令示例如下。
    --Bob进入项目test_project_a。
    use test_project_a; 
    --收回用户Allen绑定的角色Worker。
    revoke Worker from RAM$Bob@aliyun.com:Allen;
    --查看用户Allen的授权结果。权限列表无Drop权限信息。
    show grants for RAM$Bob@aliyun.com:Allen; 

后续指引

了解Policy授权机制后,您可以根据实际业务需要执行授权相关操作: