API参考授权信息介绍_云原生大数据计算服务 MaxCompute(MaxCompute)-阿里云帮助中心

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。

本文为您介绍云原生大数据计算服务 MaxCompute为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。云原生大数据计算服务 MaxCompute的RAM代码（RamCode）为 odps、maxcompute，支持的授权粒度为资源级。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源ARN来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是云原生大数据计算服务 MaxCompute定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的API接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作
odps:ApplyComputeQuotaPlan	ApplyComputeQuotaPlan	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:CreateMmsDataSource	CreateMmsDataSource	create	全部资源 ``	无	无
odps:CreateMmsFetchMetadataJob	CreateMmsFetchMetadataJob	create	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:CreateMmsJob	CreateMmsJob	create	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:CreatePackage	CreatePackage	create	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:CreateProject	CreateProject	Write	Project `acs:odps:{#regionId}:{#accountId}:project/`	odps:Encryption	无
odps:CreateQuotaPlan	CreateQuotaPlan	create	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:CreateQuotaPlan	CreateComputeQuotaPlan	create	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:CreateRole	CreateRole	create	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#projectName}`	无	无
odps:DeleteMmsDataSource	DeleteMmsDataSource	delete	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:DeleteMmsJob	DeleteMmsJob	delete	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:DeleteQuotaPlan	DeleteComputeQuotaPlan	delete	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:DeleteQuotaPlan	DeleteQuotaPlan	delete	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetEffectivePlan	GetComputeEffectivePlan	get	*QuotaPlan `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetJobResourceUsage	GetJobResourceUsage	list	全部资源 ``	无	无
odps:GetMmsAsyncTask	GetMmsAsyncTask	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsDataSource	GetMmsDataSource	get	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsDb	GetMmsDb	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsFetchMetadataJob	GetMmsFetchMetadataJob	get	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsJob	GetMmsJob	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsPartition	GetMmsPartition	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsTable	GetMmsTable	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetMmsTask	GetMmsTask	get	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:GetPackage	GetPackage	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetProject	GetProject	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetQuota	GetQuota	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetQuotaPlan	GetQuotaPlan	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetQuotaPlan	GetComputeQuotaPlan	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetQuotaSchedule	GetComputeQuotaSchedule	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetQuotaSchedule	GetQuotaSchedule	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:GetQuotaUsage	GetQuotaUsage	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#nickName}`	无	无
odps:GetRoleAcl	GetRoleAcl	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetRoleAclOnObject	GetRoleAclOnObject	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetRolePolicy	GetRolePolicy	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetRunningJobs	GetRunningJobs	list	全部资源 ``	无	无
odps:GetTableInfo	GetTableInfo	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:GetTrustedProjects	GetTrustedProjects	get	Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:KillJobs	KillJobs	update	全部资源 ``	无	无
odps:ListComputeMetricsByInstance	ListComputeMetricsByInstance	list	全部资源 ``	无	无
odps:ListFunctions	ListFunctions	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListJobInfos	ListJobInfos	list	全部资源 ``	无	无
odps:ListJobMetric	ListJobMetric	list	全部资源 ``	无	无
odps:ListJobSnapshotInfos	ListJobSnapshotInfos	list	全部资源 ``	无	无
odps:ListMmsDataSources	ListMmsDataSources	list	全部资源 ``	无	无
odps:ListMmsDbs	ListMmsDbs	list	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListMmsJobs	ListMmsJobs	list	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListMmsPartitions	ListMmsPartitions	list	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListMmsTables	ListMmsTables	list	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListMmsTaskLogs	ListMmsTaskLogs	list	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListMmsTasks	ListMmsTasks	list	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:ListPackages	ListPackages	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListProjectUsers	ListProjectUsers	get	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListProjects	ListProjects	list	Project `acs:odps:{#regionId}:{#accountId}:projects/*`	无	无
odps:ListQuotaTimers	ListTunnelQuotaTimer	list	全部资源 ``	无	无
odps:ListQuotasPlans	ListQuotasPlans	get	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:ListQuotasPlans	ListComputeQuotaPlan	list	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:ListResources	ListResources	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListRoles	ListRoles	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListStoragePartitionsInfo	ListStoragePartitionsInfo	get	*Storage `acs:odps:{#regionId}:{#accountId}:storage/{#project}`	无	无
odps:ListStorageTablesInfo	ListStorageTablesInfo	get	*Storage `acs:odps:{#regionId}:{#accountId}:storage/{#project}`	无	无
odps:ListTables	ListTables	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:ListUsers	ListUsers	list	全部资源 ``	无	无
odps:ListUsersByRole	ListUsersByRole	list	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:RetryMmsJob	RetryMmsJob	update	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:StartMmsJob	StartMmsJob	update	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:StopMmsJob	StopMmsJob	update	*project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:UpdateMmsDataSource	UpdateMmsDataSource	update	*Project `acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}`	无	无
odps:UpdatePackage	UpdatePackage	update	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:UpdateProjectBasicMeta	UpdateProjectBasicMeta	update	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:UpdateProjectDefaultQuota	UpdateProjectDefaultQuota	update	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:UpdateProjectIpWhiteList	UpdateProjectIpWhiteList	update	*Project `acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName}`	无	无
odps:UpdateQuotaPlan	UpdateQuotaPlan	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:UpdateQuotaPlan	UpdateComputeQuotaPlan	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:UpdateQuotaSchedule	UpdateQuotaSchedule	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:UpdateQuotaSchedule	UpdateComputeQuotaSchedule	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无
odps:UpdateQuotaTimers	UpdateTunnelQuotaTimer	update	全部资源 ``	无	无
odps:UpdateSubQuotas	UpdateComputeSubQuota	update	*Quota `acs:odps:{#regionId}:{#accountId}:quotas/{#NickName}`	无	无

资源（Resource）

下表是云原生大数据计算服务 MaxCompute定义的资源，这些资源可以在RAM权限策略语句的Resource元素中使用，用来授予对该资源执行具体操作的权限。其中，资源ARN是资源在阿里云上的唯一标识。具体说明如下：

{#}为变量标识，需要您替换为实际值。例如：{#ramcode}需要您替换为实际的云服务RAM代码。
*表示全部。例如：
- {#resourceType}为*时：表示全部资源。
- {#regionId}为*时：表示全部地域。
- {#accountId}为*时：表示全部阿里云账号。

资源类型	资源ARN
AsyncJob	acs:odps:{#regionId}:{#accountId}:asyncjob/*
CrossRegionReplication	acs:odps:{#regionId}:{#accountId}:crossregionreplication/*
DisasterRecoveries	acs:odps:{#regionId}:{#accountId}:disasterrecoveries/*
ForeignServer	acs:odps:{#regionId}:{#accountId}:foreignservers/{#foreignServerName} acs:odps:{#regionId}:{#accountId}:foreignservers/*
GlobalConfig	acs:odps:{#regionId}:{#accountId}:globalconfig/{#configName} acs:odps:{#regionId}:{#accountId}:globalconfig/*
Gray	acs:odps:{#regionId}:{#accountId}:gray/*
Image	acs:odps:{#regionId}:{#accountId}:image/* acs:odps:{#regionId}:{#accountId}:image/{#name}
Instance	acs:odps::{#accountId}:instance/
Job	acs:odps:{#regionId}:{#accountId}:job/* acs:odps:{#regionId}:{#accountId}:job/{#instanceId} acs:odps:{#regionId}:{#accountId}:job/{#quotaNickname}
JobInsight	acs:odps:{#regionId}:{#accountId}:jobInsight/* acs:odps:{#regionId}:{#accountId}:jobinsight/*
Metric	acs:odps:{#regionId}:{#accountId}:metric/{#category}
MyFocusResource	acs:odps:{#regionId}:{#accountId}:myfocusresource/*
NetworkLink	acs:odps:{#regionId}:{#accountId}:networklink/* acs:odps:{#regionId}:{#accountId}:networklink/{#networkLinkName}
NotebookInstance	acs:odps:{#regionId}:{#accountId}:notebookinstance/*
NotebookTemplate	acs:odps:{#regionId}:{#accountId}:notebooktemplate/*
Project	acs:odps:{#regionId}:{#accountId}:projects/{#ProjectName} acs:odps:{#regionId}:{#accountId}:projects/* acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId} acs:odps:{#regionId}:{#accountId}:project/{#ProjectName} acs:odps:{#regionId}:{#accountId}:project/* acs:odps:{#regionId}:{#accountId}:mmsdatasource/*
Quota	acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} acs:odps:{#regionId}:{#accountId}:quota/{#NickName} acs:odps:{#regionId}:{#accountId}:quotas/*
QuotaPlan	acs:odps:{#regionId}:{#accountId}:quotas/{#NickName} acs:odps:{#regionId}:{#accountId}:quotaplan/*
QuotaRoutingRule	acs:odps:{#regionId}:{#accountId}:quotas/* acs:odps:{#regionId}:{#accountId}:quotas/{#quotaPath}
ResourcePackage	acs:odps:{#regionId}:{#accountId}:resourcePackage/*
Session	acs:odps:{#regionId}:{#accountId}:session/*
Storage	acs:odps:{#regionId}:{#accountId}:storage/* acs:odps:{#regionId}:{#accountId}:storage/{#project} acs:odps:{#regionId}:{#accountId}:Storage/*
Tag	acs:odps:{#regionId}:{#accountId}:tags/*
Tenant	acs:odps:{#regionId}:{#accountId}:tenant/* acs:odps:{#regionId}:{#accountId}:tenant/settings/* acs:odps:{#regionId}:{#accountId}:tenant/settings/{key}
User	acs:odps::{#accountId}:user/
UserResource	acs:odps:{#regionId}:{#accountId}:userresource/* acs:odps:{#regionId}:{#accountId}:userResource/*
VwQuotaInfo	acs:odps:{#regionId}:{#accountId}:vwQuotaInfos/*
project	acs:odps:{#regionId}:{#accountId}:mmsdatasource/{#sourceId}
tenant	acs:odps:{#regionId}:{#accountId}:tenant/*

条件（Condition）

下表是云原生大数据计算服务 MaxCompute定义的产品级条件关键字，这些条件关键字可以在RAM权限策略语句的Condition元素中使用，用来描述授予权限的条件。以下仅列举产品级的条件关键字，阿里云定义的通用条件关键字也同样适用云原生大数据计算服务 MaxCompute。

其中，数据类型决定了您可以使用哪些条件运算符将请求中的值与权限策略语句中的值进行比较。您必须使用与数据类型匹配的条件运算符，否则无法匹配策略语句，授权行为无效。数据类型与条件运算符的对应关系，请参见条件操作类型。

条件关键字	描述	类型
odps:Encryption	项目是否开启加密	Boolean

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作