项目空间(Project)是MaxCompute实现多租户体系的基础,是您管理数据和计算的基本单位,也是计量和计费的主体。当用户申请创建项目空间后,该用户即是此空间的所有者(Owner),这个项目空间内的所有对象(表,实例,资源,UDF等)都属于该用户。这就是说,除了Owner之外,任何人都无权访问此项目空间内的对象,除非有Owner的授权许可。
说明
对于已在MaxCompute或DateWorks项目中拥有角色的RAM子账号,请在删除子账号之前解除子账号在项目的角色并在项目空间中删除子账号。否则子账号会在项目空间中残留,显示为“ p4_xxxxxxxxxxxxxxxxxxxx”且无法在项目空间中移除(不影响项目空间正常功能使用)。示例如下:
子账号残留时在项目的显示:
odps@ MaxCompute>list users;
p4_2652900xxxxxxxxxx
残留子账号无法在空间中删除:
odps@ MaxCompute_DOC>remove user p4_2652900xxxxxxxxxx;
Confirm to "remove user p4_2652900xxxxxxxxxx
;" (yes/no)? yes
FAILED: lack of account provider
在此时在Dataworks项目成员管理页面依然能看到RAM子账号。
正确的做法:在删除子账号前先解除子账号的角色
odps@ MaxCompute>revoke role_project_security, role_project_admin, role_project_dev, role_project_pe, role_project_deploy, role_project_guest from RAM$MainCount:hanmeimei;
OK
然后在空间移除子账号:
odps@ MaxCompute>remove user RAM$MainCount:hanmeimei;
之后即可正常删除RAM子账号。

在MaxCompute和Dataworks中,主账号与子账号的权限区分如下表所示。

操作类型 操作说明 操作端 主账号 角色 RAM子账号 角色 依赖
Project管理 Project-创建、删除 Dataworks 支持 项目所有者 支持 项目管理员 主账号AK开启
Project-创建、删除 MaxCompute CLI/Studio 不支持 N/A 不支持 N/A
Project-跨Project访问 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 ALL 主账号指定授权
Project-更新 Dataworks/MaxCompute CLI/Studio 不支持 N/A 不支持 N/A
IP白名单设置 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 不支持 N/A 主账号AK开启
全表扫描 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 不支持 N/A 主账号AK开启
数据保护 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 不支持 N/A 主账号AK开启
项目成员-添加、授权管理 Dataworks 支持 项目所有者 支持 项目管理员 主账号AK开启
项目成员-添加、授权管理 MaxCompute CLI/Studio 不支持 N/A 不支持 N/A
数据集成 数据源创建、修改 Dataworks 支持 项目所有者 支持 项目管理员
同步任务创建、修改 Dataworks 支持 项目所有者 支持 项目管理员、开发
同步任务发布 Dataworks 支持 项目所有者 支持 项目管理员、开发、运维、部署
CU管家 CU管家-修改Quota Dataworks 支持 项目所有者 不支持 N/A 主账号AK开启
CU管家-访问、监控 Dataworks 支持 项目所有者 支持 ALL
CU管家-RAM授权 Dataworks 不支持 N/A 不支持 N/A
代码开发 查看代码列表、内容 Dataworks 支持 项目所有者 支持 ALL
代码创建、删除、更新、运行 Dataworks 支持 项目所有者 支持 项目管理员、开发
JAVA UDF Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发、运维、部署
Python UDF Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发、运维、部署 工单申请开通
运维中心 调度任务查看管理 Dataworks 支持 项目所有者 支持 项目管理员、开发、运维、部署
数据管理 表-创建 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发
表-更新 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发、运维、部署
表-删除 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员
单表授权(ACL) Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发
表查询-元数据预览 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 ALL
表查询-跨Project表预览 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 ALL 主账号指定授权
资源管理 查看资源列表 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 ALL
资源-创建、删除 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发
资源-上传(jar/text/archive) Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发
工作流开发 查看工作流列表、内容 Dataworks 支持 项目所有者 支持 ALL
工作流创建、删除、更新 Dataworks 支持 项目所有者 支持 项目管理员、开发
文件夹创建、删除、更新 Dataworks 支持 项目所有者 支持 项目管理员、开发
函数开发 查看函数列表、详情 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 ALL
函数-创建、删除 Dataworks/MaxCompute CLI/Studio 支持 项目所有者 支持 项目管理员、开发
售卖 购买、充值、续费、升级、降配 数加控制台/MaxCompute购买页 支持 项目所有者 不支持 N/A
消费账单、消费明细、使用记录 阿里云费用中心 支持 项目所有者 不支持 N/A
  • 如果您通过DataWorks进行添加用户及授权等操作,请参见添加项目成员和角色
  • 如果您通过MaxCompute安全管理命令进行用户管理,请参见用户管理,以了解如何添加/删除用户、给用户授权(包括RAM子账号管理)。
  • 如果您通过MaxCompute安全管理命令进行角色管理,请参见角色管理,以了解如何创建/删除角色,如何给角色授权。
  • 授权及权限查看的更多详情,请参见授权查看权限