1、背景介绍 同一个主账号下面的两个工作空间,工作空间名称分别为 A工作空间名称:wei_wwww A工作空间子账号:mc_oss B工作空间名称:wei_mc B工作空间子账号:bigdata_wei 现在B工作空间子账号bigdata_wei需要访问A工作空间子账号mc_oss创建的UDF函数。执行查询语句报错信息如下:
2、MaxCompute项目空间支持的对象类型及操作 MaxCompute提供了ACL授权、跨项目空间数据分享、项目空间数据保护等多种策略。授权操作一般涉及到三个要素,即主体(Subject,可以是用户也可以是角色)、客体(Object)和操作(Action)。在MaxCompute中,主体是指用户或角色,客体是指项目空间中的各种类型对象。我们推荐您优先使用ACL(基于对象)授权,而非Policy(基于策略)授权。 ACL授权中,MaxCompute的客体包括项目空间、表、函数、资源、任务实例 授权方式:
grant actions on object to subject;
3、授权 (1)在A工作空间创建一个函数 A工作空间名称:wei_wwww 创建角色:
create role worker;
角色指派:
grant worker TO ram$建伟MaxCompute:mc_oss;
对角色授权:
grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT wei_wwww TO ROLE worker;
子账号:mc_oss创建一个函数udf1225,使用的资源为1225.jar
add jar 1225.jar;
CREATE FUNCTION udf1225 as 'com.aliyun.udf.test.UDF_DEMO' using '1225jar';
(2)在B工作空间授权操作 B工作空间中的子账号想要访问A工作空间中子账号创建的函数udf1225。我们需要B工作空间的子账号bigdata_wei拥有访问A工作空间的函数和资源的权限。所以需要给B工作空间的子账号bigdata_wei授权。 B工作空间名称:wei_mc B工作空间子账号:bigdata_wei 创建角色:
create role mcrole;
角色指派:
grant mcrole TO ram$建伟MaxCompute:bigdata_wei;
对角色授权:
grant Read ON Function udf1225 TO ROLE mcrole;
grant Read ON Resource 1225.jar TO ROLE mcrole;
4、访问函数 切换登陆B工作空间子账号:bigdata_wei去查询A工作空间下面的函数,此时可以正确访问到A工作空间创建的函数和资源。
use wei_mc;
select wei_wwww:udf1225('f');
结果如下图所示:
注意:主账号不能给其他主账号的子账号授权。
欢迎加入“MaxCompute开发者社区2群”,点击链接申请加入或扫描二维码 https://h5.dingtalk.com/invite-page/index.html?bizSource=____source____&corpId=dingb682fb31ec15e09f35c2f4657eb6378f&inviterUid=E3F28CD2308408A8&encodeDeptId=0054DC2B53AFE745
上云就看云栖号:更多云资讯,上云案例,最佳实践,产品入门,访问:https://yqh.aliyun.com/
本文为阿里云原创内容,未经允许不得转载。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。