场景: 一个企业使用多款阿里云产品,MaxCompute 是其中一个产品,用的是同个主账号,主账号不是由使用 MaxCompute 的大数据同学管理,大数据同学使用的是子账号。大数据同学日常需要给 MaxCompute 项目 操作新增子账号(add user),新的子账号授权(grant xx on project/table)等操作,即日常权限管理。
背景知识:
- MaxCompute 项目权限管理默认只有 owner 可以操作,而 MaxCompute 项目的 owner 只能是主账号。
- 子账号开通 MaxCompute 并创建项目,项目的 owner 依然是对应的主账号。
- DataWorks 中,子账号拥有项目空间的“项目管理员”或“安全管理员”角色,都只是拥有对应 DataWorks 的操作权限,并不能操作 MaxCompute 项目的权限管理。具体可参考《DataWorks 角色权限和 MaxCompute 角色权限关系》。
解决方案:
指定一个子账号作为大数据 MaxCompute 的权限管理账号,让主账号给该子账号授 admin role
-- 如主账号是 bob@aliyun.com,作为日常权限管理的子账号是 Allen
grant admin TO ram$bob@aliyun.com:Allen; 注意 admin 可以满足常用的一些日常权限管理,但并不能代替 owner 做所有管理,此时还是必须要 owner 才能进行操作。
本文作者:海清
阅读原文
本文为云栖社区原创内容,未经允许不得转载。