本文以案例分析的形式为您介绍如何使用子账号进行权限管理。

场景分析

一个企业购买了多款阿里云产品,MaxCompute是其中一个产品,各产品共享同一个主账号。MaxCompute的使用者不负责主账号的管理,日常情况下,他需要使用子账号为MaxCompute项目进行权限管理,例如新增子账号(add user)、为新的子账号授权(grant xx on project/table)等操作。

背景知识

  • 默认情况下,只有Owner才可以进行MaxCompute项目权限管理,而且MaxCompute项目的Owner只能是主账号。
  • 子账号开通MaxCompute服务并创建项目后,项目的Owner依然是对应的主账号。
  • 在DataWorks中,子账号拥有项目空间的项目管理员安全管理员角色。子账号只拥有对应DataWorks的操作权限,并没有权限对MaxCompute项目进行权限管理。详情请参见DataWorks角色权限和MaxCompute 角色权限关系

解决方案

指定一个子账号作为大数据MaxCompute的权限管理账号。主账号为该子账号授予Admin Role。
--例如主账号是bob@aliyun.com,作为日常权限管理的子账号是Allen。
grant admin TO ram$bob@aliyun.com:Allen; 
说明 Admin可以进行日常的权限管理,但不能代替Owner做所有的权限管理。只有Owner才有权限进行示例中的授权操作。