授权方案概述

MaxCompute提供了灵活的授权方案来满足项目的权限管理需求,您可以根据实际人员权限分配规划选择合适的授权方案。本文为您介绍MaxCompute支持的授权方案及授权场景信息。

MaxCompute支持的授权方案如下。

授权方案

授权场景

ACL权限控制

适用于管控MaxCompute项目内部人员的权限,是常用的授权方案。以白名单方式,允许用户操作项目、表、资源、函数或实例。

如果需要为多个用户授予相同的操作权限,可以先为角色授权,再将角色绑定至用户。

Policy权限控制

适用于管控MaxCompute项目内部人员的权限。以白名单方式允许角色操作项目、表、资源、函数或实例,或以黑名单方式禁止角色操作项目、表、资源、函数或实例,然后再将角色绑定至用户。

该授权方式可以弥补ACL授权机制无法解决的授权问题。例如用户已经被赋予了开发角色,默认具备删除表的权限,但如果需要禁止用户执行删除表操作,可以通过Policy方式进行授权。

Download权限控制

适用于管控数据流出MaxCompute项目的权限,控制用户或角色下载表数据、资源、函数或实例的权限。

Label权限控制

适用于管控MaxCompute项目内部人员对列级别敏感数据的访问权限。通过设置表的敏感数据等级、用户的访问许可等级实现列级权限控制。

行级访问控制

适用于控制用户或角色对MaxCompute表中特定数据的访问权限。通过在原表中定义用户与数据(被允许访问的数据)的匹配规则,控制特定用户或角色仅可见其有权限访问的数据,从而提升数据安全性和合规性。

基于Package跨项目访问资源

适用于跨项目访问资源场景。将需要分享的资源及允许的访问权限打包为Package,许可其他项目安装Package。