一、操作场景
I 自有数仓数据启动
登录阿里云图计算服务控制台。
2. 在创建数据表时如果选择配置MaxCompute(原ODPS)数据源,需要在MaxCompute中给openias账号授权可读权限。
二、MaxCompute授权流程
下载和配置使用客户端(odpscmd)连接 。
通过运行./bin/odpscmd进入MaxCompute环境。
给账号【ALIYUN$openias】授权。
Tips:
ALIYUN$openias 为iGraph引擎BS离线系统的MC账号,该BS离线系统承担MC数据索引构建的功能。
海外区域如新加坡需要额外配置,可联系技术支持解决。
iGraph引擎的离线系统需要的权限列表:
Object | Action | 说明 |
Project | Read | 查看项目自身(不包括项目的任何对象)的信息,例如CreateTime。 |
Project | List | 查看项目所有类型的对象列表。 |
Table | Describe | 读取表的元信息。 |
Table | Select | 读取表的数据。 |
Table | Download | 下载表数据信息用于构建索引 |
其他操作:见MaxCompute权限文档.
I 添加角色
// 添加 openias账号权限
add user `ALIYUN$openias`;
// 通过list users;确认是否已经添加成功
list users;
II 授权可读权限
// 授权
// [project] 替换为您的真实project
// [table] 替换为您真实的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant Describe ON TABLE [table] to user `ALIYUN$openias`;
grant Select ON TABLE [table] to user `ALIYUN$openias`;
III 授权可写权限
// 授权
// [project] 替换为您的真实project
// [user] 替换为上边添加的user
// [table] 替换为您真实的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateTable ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateInstance ON PROJECT [project] to user `ALIYUN$openias`;
IV 敏感字段单独授权
# 显式授权访问t1中敏感度不超过2级的数据
$ GRANT LABEL 2 ON TABLE t1 TO USER `ALIYUN$openias`;
# 显式授权访问t1(col1, col2)中敏感度不超过3级的数据
$ GRANT LABEL 3 ON TABLE t1(col1, col2) TO USER `ALIYUN$openias`;
# 对整个项目空间都进行敏感字段的授权
$ set label 4 to user `ALIYUN$openias`;
文档内容是否对您有帮助?