MaxCompute开通并创建项目成功后,对于账户级别(tenant)内置了两个默认管理角色Super_Administrator和Admin;对于项目级别(project),除了项目所有者,还内置了两个项目默认的管理角色Super_Administrator和Admin。本文将为您介绍MaxCompute账户级别和项目级别的角色权限。

背景信息

MaxCompute账户级别角色、项目级别角色以及项目所有者对应的权限如下:
  • 账户级别
    • Super_Administrator:内置的管理角色,除了不能创建项目、删除项目、开通服务,其他在MaxCompute上的操作权限等同于阿里云账号(主账号)。
    • Admin:内置的管理角色,用于管理所有对象包括project、网络连接(networklink)的权限。
    说明 账户级别的Super_Administrator和Admin角色权限级别较高,不仅拥有管理权限,同时拥有各对象的使用权限。授权需慎重,建议仅授权作为全局管理的账号。
  • 项目级别
    • Super_Administrator:内置的管理角色,拥有操作项目内所有类型资源的权限和管理类权限。
    • Admin:内置的管理角色,拥有操作项目内所有资源的权限和部分基础管理类权限。
  • 项目所有者

    ProjectOwner:项目所有者拥有对应项目的所有权限。

项目级别管理角色权限说明

项目级别管理角色拥有的管理类权限说明如下。
权限类别 客体 操作 说明 项目所有者 Super_Administrator角色 Admin角色
项目安全配置 project SetSecurityConfiguration 设置项目安全配置。
project GetSecurityConfiguration 查看项目安全配置。
受保护项目管理 project AddTrustedProject 添加受保护项目。
project RemoveTrustedProject 删除受保护项目。
project ListTrustedProjects 列出受保护项目。
用户管理 project AddUser 添加用户。
project RemoveUser 移除用户。
project ListUsers 列出用户。
project ListUserRoles 列出用户拥有的角色。
角色管理 project CreateRole 创建角色。
project DescribeRole 查看角色。
project AlterRole 修改角色属性。
project DropRole 删除角色。
project ListRoles 列出角色。
角色授权 role GrantRole 授予用户角色。
role RevokeRole 移除用户角色。
role ListRolePrincipals 查看角色用户列表。
包(package)管理 project CreatePackage 创建包。
project ShowPackages 列出包。
package DescribePackage 查看包。
package DropPackage 删除包。
package InstallPackage 安装包。
package UninstallPackage 卸载包。
package AllowInstallPackage 许可其他项目使用包。
package DisallowInstallPackage 撤销其他项目使用包的许可。
package AddPackageResource 向包中添加资源。
package RemovePackageResource 从包中移除资源。
标签(Label)授权管控 table GrantLabel 标签授权。
table RevokeLabel 撤销标签授权。
table ShowLabelGrants 查看标签授权。
table SetDataLabel 设置用户、角色的标签。
清理过期权限 project ClearExpiredGrants 清理过期权限。