离线存储授权

一、操作场景

I 自有数仓数据启动

  1. 登录智能推荐-特征存储引擎控制台。

2. 在创建数据表时如果选择配置ODPS数据源,需要在MaxCompute中给openias账号授权可读权限。

二、MaxCompute授权流程

  1. 下载和配置MaxCompute客户端

  2. 通过运行./bin/odpscmd到MaxCompute环境。

  3. 输入如下命令给账号授权。

  4. 特征存储引擎ABFS需要的权限列表:

Object

Action

说明

Project

Read

查看项目自身(不包括项目的任何对象)的信息,例如CreateTime。

Project

List

查看项目所有类型的对象列表。

Table

Describe

读取表的元信息。

Table

Select

读取表的数据。

Table

Download

下载表数据信息用于构建索引

其他操作:见MaxCompute授权文档.

I 添加角色

// 添加 openias账号权限
add user `ALIYUN$openias`; 
// 通过list users;确认是否已经添加成功
list users;

II 授权可读权限

// 授权
// [project] 替换为您的真实project
// [table] 替换为您真实的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant Describe ON TABLE [table] to user `ALIYUN$openias`;
grant Select ON TABLE [table] to user `ALIYUN$openias`;

III 授权可写权限

// 授权
// [project] 替换为您的真实project
// [user] 替换为上边添加的user
// [table] 替换为您真实的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateTable ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateInstance ON PROJECT [project] to user `ALIYUN$openias`;

IV 敏感字段单独授权

# 显式授权访问t1中敏感度不超过2级的数据
$ GRANT LABEL 2 ON TABLE t1 TO USER `ALIYUN$openias`;

# 显式授权访问t1(col1, col2)中敏感度不超过3级的数据
$ GRANT LABEL 3 ON TABLE t1(col1, col2) TO USER `ALIYUN$openias`;

# 对整个项目空间都进行敏感字段的授权
$ set label 4 to user `ALIYUN$openias`;