基于Package跨项目访问资源

当您需要跨项目(包含跨账号)访问资源(对象)时,如果未被加入目标资源所属项目,您无法直接访问资源。MaxCompute提供了Package授权机制,可以将资源及相应权限打包为Package,其他项目安装此Package后,即可解决跨项目访问资源问题。本文为您介绍Package授权操作并提供示例供参考。

背景信息

假设某个阿里云账号下有多个MaxCompute项目,其中项目A里有一批表、资源文件、自定义函数需要分享给其他项目使用,或需要分享给其他阿里云账号内的项目使用。通常您可以使用如下方法实现资源分享:

  • 将其他项目中需要使用资源的用户都添加到A项目,并逐个执行授权操作。但该方法比较繁琐,不推荐在跨项目访问资源场景下使用。仅当需要精细控制资源由单人使用,且申请人是本业务项目团队成员时,建议使用该方式。更多授权语法信息,请参见ACL权限控制

  • 基于Package实现跨项目资源分享。

    Package是一种跨项目共享数据及资源的机制。A项目的所有者对其他项目需要使用的资源进行打包(也就是创建Package),然后许可其他项目安装此Package。其他项目的所有者安装Package之后,就可以自行管理Package是否需要进一步授权给自己项目下的用户。完整实现流程如下。

    Package使用流程

由上述流程可知,使用Package涉及两个主体,Package主体信息及主体可执行的操作如下。

主体

说明

可执行的操作

主体角色

操作入口

Package创建者

所在的项目是资源提供方。将需要分享的资源及其操作权限进行打包,然后许可Package使用者安装使用。

创建Package

资源所属项目的项目所有者(Project Owner)或具备资源所属项目的项目级别Super_Administrator角色的用户。

将资源添加至Package

删除Package中的资源

许可其他项目使用Package

撤销其他项目使用Package的许可

删除Package

查看Package列表

查看Package的详细信息

Package使用者

所在的项目是资源使用方。安装了资源提供方创建的Package之后,便可以直接跨项目访问资源。

安装Package

使用资源的项目的所有者(Project Owner)或具备使用资源项目的项目级别Super_AdministratorAdmin角色的用户。

查看安装的Package的详细信息

为用户或角色授予访问Package的权限

卸载Package

使用限制

Package的使用限制如下:

  • 一个Package中最多可以包含1000个资源。

  • 一个Package最多允许安装至10万个MaxCompute项目中。

  • 一个MaxCompute项目最多可以从另外一个MaxCompute项目安装100Package。

  • 一个MaxCompute项目最多可以创建10万个Package。

  • 一个MaxCompute项目最多可以安装10万个Package。

创建Package

资源提供方在MaxCompute项目中创建Package。

  • 命令格式

    create package <package_name>;
  • 参数说明

    参数名称

    是否必填

    说明

    package_name

    指定Package的名称,项目内唯一。长度不超过128个字符,可以包含字母、下划线(_)或数字。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    假设Bob@aliyun.comtest_project_a的项目所有者,现需要允许其他项目访问test_project_a中的部分资源。创建Package,命令示例如下。

    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建Package。
    create package datashare;

将资源添加至Package

将资源使用方需要的资源添加至创建的Package中。

  • 命令格式

    add <object_type> <object_name> to package <package_name> [with privileges <privileges>];
  • 使用限制

    不支持添加Project类型对象至Package。

  • 注意事项

    资源添加到Package时,并非是以快照形式打包。后续资源数据变更时,通过Package访问的是资源的最新数据。

  • 参数说明

    参数名称

    是否必填

    说明

    object_type

    指定待添加的资源类型,即对象类型。单次添加只能指定一个对象。

    对象取值请参见权限列表

    object_name

    指定资源的名称。获取方式如下:

    • 表名称:您可以通过MaxCompute客户端执行show tables;命令获取表或视图名称。

    • 资源文件名称:您可以通过MaxCompute客户端执行list resources;命令获取资源名称。

    • 函数名称:您可以通过MaxCompute客户端执行list functions;命令获取函数名称。

    • 实例名称:您可以通过MaxCompute客户端执行show instances;命令获取实例名称。

    说明
    • 添加资源时,支持使用通配符星号(*)。例如add table * to package package_name;表示将所有表添加至Package。

    • 添加资源时,资源名称不能加项目名前缀。例如,项目为A,需要添加A中的表table到某个Package中,则执行添加操作时,资源名不能写为A.table,应该直接写为table。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

    privileges

    指定对资源的操作权限。当未指定操作权限时,默认为Read、Describe、Select权限。资源及其权限被看作一个整体,添加后不可更新。如果需要更新,只能删除Package关联的资源后重新添加资源及权限。

    操作取值请参见权限列表

  • 使用示例

    test_project_a项目中的资源udtf.jar、表sale_detailbank_data添加至Package中。命令示例如下。

    --将资源添加至Package。
    add Resource udtf.jar to package datashare;
    add Table sale_detail to package datashare;

删除Package中的资源

删除Package中已添加的资源。

  • 命令格式

    remove <object_type> <object_name> from package <package_name>; 
  • 参数说明

    参数名称

    是否必填

    说明

    object_type

    指定待删除的资源类型,即对象类型。单次删除只能指定一个对象。

    对象取值请参见权限列表

    object_name

    指定资源的名称。获取方式如下:

    • 表名称:您可以通过MaxCompute客户端执行show tables;命令获取表或视图名称。

    • 资源文件名称:您可以通过MaxCompute客户端执行list resources;命令获取资源名称。

    • 函数名称:您可以通过MaxCompute客户端执行list functions;命令获取函数名称。

    • 实例名称:您可以通过MaxCompute客户端执行show instances;命令获取实例名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    删除Package datashare中已添加的表sale_detail,命令示例如下。

    --删除Package中的资源。
    remove Table sale_detail from package datashare;

许可其他项目使用Package

资源提供方授予其他项目使用Package的权限。

  • 命令格式

    allow project <project_name> to install package <package_name> [using label <number>];
  • 参数说明

    参数名称

    是否必填

    说明

    project_name

    指定可使用PackageMaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

    number

    用于增加一个Label权限控制策略,指定允许资源使用方访问的敏感数据等级。被授权的MaxCompute项目可以访问Package,但仅能访问敏感等级小于等于number的数据。不指定时,默认为0级。

    更多Label权限控制信息,请参见Label权限控制

  • 使用示例

    允许test_project_b项目安装test_project_a中已创建的Package datashare。命令示例如下。

    --许可test_project_b安装Package。
    allow project test_project_b to install package datashare;

撤销其他项目使用Package的许可

资源提供方撤销授予其他项目使用Package的权限。

  • 命令格式

    disallow project <project_name> to install package <package_name>;
  • 参数说明

    参数名称

    是否必填

    说明

    project_name

    指定待撤销访问Package权限的MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    撤销test_project_b项目可以安装test_project_a中的Package datashare的权限。命令示例如下。

    --撤销Package授权许可。
    disallow project test_project_b to install package datashare;

删除Package

删除已创建的Package。

  • 命令格式

    delete|drop package <package_name>;
  • 注意事项

    删除Package会清除通过这个Package授予的权限信息。

  • 参数说明

    参数名称

    是否必填

    说明

    package_name

    指定待删除Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    删除test_project_a中已创建的Package datashare。命令示例如下。

    --删除Package。
    drop package datashare;

查看Package列表

MaxCompute项目中查看已创建或已安装的Package列表。

  • 命令格式

    show packages;
  • 使用示例

    查看test_project_a项目中创建或安装的Package信息。命令示例如下。

    --查看Package列表。
    show packages;

    返回结果如下。包含如下信息:

    • 创建或安装Package的名称(PackageName)

    • 创建时间(CreateTime)

    • Package所属MaxCompute项目(SourceProject)

    • 安装时间(InstallTime)

    • 状态(Status)

    +-------------+--------------------------+
    | PackageName | CreateTime               |
    +-------------+--------------------------+
    | datashare   | 2021-12-28T18:10:39+0800 |
    +-------------+--------------------------+
    +-------------+--------------------+--------------------------+--------+
    | PackageName | SourceProject      | InstallTime              | Status |
    +-------------+--------------------+--------------------------+--------+
    | systables   | information_schema | 2020-11-24T14:11:23+0800 | OK     |
    +-------------+--------------------+--------------------------+--------+

查看Package的详细信息

MaxCompute项目中查看已创建的Package详细信息。

  • 命令格式

    describe package <package_name>;
  • 参数说明

    参数名称

    是否必填

    说明

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    查看test_project_a项目中Package datashare包含的资源及权限信息。命令示例如下。

    --查看Package详情。
    describe package datashare;

    返回结果如下。包含如下信息:

    • Package创建时间(CreateTime)

    • Package的名称(PackageName)

    • Package所属MaxCompute项目(SourceProject)

    • Package资源类型(ObjectType)

    • Package资源名称(ObjectName)

    • Package资源权限(ObjectPrivileges)

    • 允许安装Package的项目(ProjectName)

    • 许可访问等级(UserLabel)

    CreateTime:         2021-12-28T18:10:39+0800
    PackageName:        datashare
    SourceProject:      test_project_a
    
    Object List
    +--------------+------------------------------------------+------------------+
    | ObjectType   | ObjectName                               | ObjectPrivileges |
    +--------------+------------------------------------------+------------------+
    | RESOURCE     | udtf.jar                                 | Read             |
    +--------------+------------------------------------------+------------------+
    | TABLE        | sale_detail                              | Describe,Select  |
    +--------------+------------------------------------------+------------------+
    
    Allowed Project List
    +-----------------+-----------+
    | ProjectName     | UserLabel |
    +-----------------+-----------+
    | test_project_b  | 0         |
    +-----------------+-----------+

安装Package

在目标MaxCompute项目中安装Package。

  • 命令格式

    install package <project_name>.<package_name>;
  • 注意事项

    Package会展开安装,安装完成后,您可以执行show packages; 命令查询到安装的Package,通过describe package <package_name>; 命令查看Package内的资源及权限信息。

  • 参数说明

    参数名称

    是否必填

    说明

    project_name

    指定Package所属MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    test_project_b项目中安装test_project_a项目的Package datashare,假设Amy@aliyun.comtest_project_b的项目所有者。命令示例如下。

    --Amy进入项目test_project_b。
    use test_project_b; 
    --安装Package。
    install package test_project_a.datashare;

查看安装的Package的详细信息

MaxCompute项目中查看已安装的Package详细信息。

  • 命令格式

    describe package <project_name>.<package_name>;
  • 参数说明

    参数名称

    是否必填

    说明

    project_name

    指定Package所属MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    查看test_project_b项目中安装的Package datashare包含的资源及权限信息。命令示例如下。

    --查看Package详情。
    describe package test_project_a.datashare;

    返回结果如下。包含如下信息:

    • Package创建时间(CreateTime)

    • Package的名称(PackageName)

    • Package所属MaxCompute项目(SourceProject)

    • Package资源类型(ObjectType)

    • Package资源名称(ObjectName)

    • Package资源权限(ObjectPrivileges)

    CreateTime:         2021-12-28T18:10:39+0800
    PackageName:        datashare
    SourceProject:      test_project_a
    
    Object List
    +--------------+------------------------------------------+------------------+
    | ObjectType   | ObjectName                               | ObjectPrivileges |
    +--------------+------------------------------------------+------------------+
    | RESOURCE     | udtf.jar                                 | Read             |
    +--------------+------------------------------------------+------------------+
    | TABLE        | sale_detail                              | Describe,Select  |
    +--------------+------------------------------------------+------------------+

为用户或角色授予访问Package的权限

在安装PackageMaxCompute项目中为用户或角色授予访问Package的权限。

被安装的Package是一种独立的MaxCompute对象类型。如果要访问Package里的资源,您必须拥有该PackageRead权限。如果请求者没有Read权限,可以由项目所有者、具备Super_AdministratorAdmin角色的用户通过ACL权限控制方案完成授权。

  • 命令格式

    grant <actions> on package <project_name>.<package_name> to {USER|ROLE} <name>;
  • 注意事项

    授权后,用户或角色仅在安装Package的项目中有权限访问Package中的资源。如果需要精细化管控Package的权限,请参见Package的权限控制

  • 参数说明

    参数名称

    是否必填

    说明

    actions

    指定对资源的操作权限。固定取值为Read。

    project_name

    指定Package所属MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

    name

    指定被授权的用户账号或角色名称。单次授权只能指定一个用户或角色。

    您可以通过MaxCompute客户端执行list users;list roles;命令获取用户账号或角色名称。

  • 使用示例

    假设Bella为隶属于Amy@aliyun.comRAM用户,现需要为Bella授予Package的访问权限。命令示例如下。

    --允许Bella访问Package。
    grant Read on package test_project_a.datashare to user RAM$Amy@aliyun.com:Bella;

撤销为用户或角色授予的访问Package的权限

在安装PackageMaxCompute项目中撤销为用户或角色授予的访问Package的权限。

  • 命令格式

    revoke <actions> on package <project_name>.<package_name> from {USER|ROLE} <name>;
  • 参数说明

    参数名称

    是否必填

    说明

    actions

    指定对资源的操作权限。固定取值为Read。

    project_name

    指定Package所属MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

    name

    指定待撤销授权的用户账号或角色名称。单次撤销授权只能指定一个用户或角色。

    您可以通过MaxCompute客户端执行list users;list roles;命令获取用户账号或角色名称。

  • 使用示例

    撤销为Bella授予的Package访问权限。命令示例如下。

     --撤销允许Bella访问Package的权限。
    revoke Read on package test_project_a.datashare from user RAM$Amy@aliyun.com:Bella;

卸载Package

为目标MaxCompute项目卸载已安装的Package。

  • 命令格式

    uninstall package <project_name>.<package_name>;
  • 参数说明

    参数名称

    是否必填

    说明

    project_name

    指定Package所属MaxCompute项目名称。

    您可以登录MaxCompute控制台,左上角切换地域后,即可在项目管理页签获取具体的MaxCompute项目名称。

    package_name

    指定Package的名称。

    您可以通过MaxCompute客户端执行show packages;命令获取已创建的Package信息。

  • 使用示例

    卸载test_project_b项目中已安装的Package datashare。命令示例如下。

    --卸载Package。
    uninstall package test_project_a.datashare;

Package使用示例

假设Bob是项目test_project_a的所有者。Amy是项目test_project_b的所有者。由于业务需要,Bob希望将其项目test_project_a中的某些资源(例如udtf.jar及表sale_detail)分享给Amy的项目test_project_b。且项目test_project_b的用户RAM$Amy@aliyun.com:Bella需要访问这些资源。以MaxCompute客户端操作为例,操作流程如下:

  1. Bob进入项目test_project_a中创建Package。

    --Bob进入项目test_project_a。
    use test_project_a; 
    --创建Package。
    create package datashare;
  2. Bob为新创建的Package添加资源。

    --将资源添加至Package。
    add Resource udtf.jar to package datashare;
    add Table sale_detail to package datashare;
  3. Bob允许项目test_project_b安装Package。

    --许可test_project_b安装Package。
    allow project test_project_b to install package datashare;
  4. Amy进入项目test_project_b中安装Package。

    --进入test_project_b。
    use test_project_b;
    --安装Package。
    install package test_project_a.datashare; 
    --查看Package中的资源列表。
    describe package test_project_a.datashare; 
    --返回结果如下。
    CreateTime:         2021-12-28T18:10:39+0800
    PackageName:        datashare
    SourceProject:      test_project_a
    
    Object List
    +--------------+------------------------------------------+------------------+
    | ObjectType   | ObjectName                               | ObjectPrivileges |
    +--------------+------------------------------------------+------------------+
    | RESOURCE     | udtf.jar                                 | Read             |
    +--------------+------------------------------------------+------------------+
    | TABLE        | sale_detail                              | Describe,Select  |
    +--------------+------------------------------------------+------------------+
  5. AmyBella授予访问Package的权限。

    -授权Bella访问Package。
    grant Read on package test_project_a.datashare to user RAM$Amy@aliyun.com:Bella; 

后续指引

完成Package创建及安装后,您可以根据实际业务需要执行如下操作:

相关文档