1、背景介绍
同一个主账号下面的两个工作空间,工作空间名称分别为
A工作空间名称:wei_wwww
A工作空间子账号:mc_oss
B工作空间名称:wei_mc
B工作空间子账号:bigdata_wei
现在B工作空间子账号bigdata_wei需要访问A工作空间子账号mc_oss创建的UDF函数。执行查询语句报错信息如下:
2、MaxCompute项目空间支持的对象类型及操作
MaxCompute提供了ACL授权、跨项目空间数据分享、项目空间数据保护等多种策略。授权操作一般涉及到三个要素,即主体(Subject,可以是用户也可以是角色)、客体(Object)和操作(Action)。在MaxCompute中,主体是指用户或角色,客体是指项目空间中的各种类型对象。我们推荐您优先使用ACL(基于对象)授权,而非Policy(基于策略)授权。
ACL授权中,MaxCompute的客体包括项目空间、表、函数、资源、任务实例
授权方式:
grant actions on object to subject;
3、授权
(1)在A工作空间创建一个函数
A工作空间名称:wei_wwww
创建角色:
create role worker;
角色指派:
grant worker TO ram$建伟MaxCompute:mc_oss;
对角色授权:
grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT wei_wwww TO ROLE worker;
子账号:mc_oss创建一个函数udf1225,使用的资源为1225.jar
add jar 1225.jar;
CREATE FUNCTION udf1225 as 'com.aliyun.udf.test.UDF_DEMO' using '1225jar';
(2)在B工作空间授权操作
B工作空间中的子账号想要访问A工作空间中子账号创建的函数udf1225。我们需要B工作空间的子账号bigdata_wei拥有访问A工作空间的函数和资源的权限。所以需要给B工作空间的子账号bigdata_wei授权。
B工作空间名称:wei_mc
B工作空间子账号:bigdata_wei
创建角色:
create role mcrole;
角色指派:
grant mcrole TO ram$建伟MaxCompute:bigdata_wei;
对角色授权:
grant Read ON Function udf1225 TO ROLE mcrole;
grant Read ON Resource 1225.jar TO ROLE mcrole;
4、访问函数
切换登陆B工作空间子账号:bigdata_wei去查询A工作空间下面的函数,此时可以正确访问到A工作空间创建的函数和资源。
use wei_mc;
select wei_wwww:udf1225('f');
结果如下图所示:
注意:主账号不能给其他主账号的子账号授权。
网友评论