MaxCompute:GRANT

前提条件

権限を付与する前に：

• ユーザーアカウントまたはロールがプロジェクトにすでに存在していること。ユーザーまたはロールを追加するには、「ユーザーの計画と管理」または「ロールの計画」をご参照ください。

• 権限を付与するオブジェクトがすでに存在していること。

制限事項

• 権限は、既存のサブジェクトに対して、既存のオブジェクトにのみ付与できます。削除されたオブジェクトと同じ名前で作成された新しいオブジェクトは、削除されたオブジェクトの権限を継承しません。

• ACL ベースのアクセス制御は [with grant option] 句をサポートしていません。つまり、権限の委任はサポートされていません。ユーザー A がユーザー B にオブジェクトへのアクセスを付与した場合、ユーザー B はそのアクセス権をユーザー C に再付与することはできません。

• ホワイトリストメカニズムのみがサポートされています。アクションを拒否するには、ポリシーベースのアクセス制御を使用してください。

注意事項

• オブジェクトを削除すると、そのオブジェクトに対するすべての ACL 権限が取り消されます。

• プロジェクトからユーザーを削除しても、そのユーザーの権限は保持されます。ユーザーが再追加された場合、過去の権限は再アクティブ化されます。残余の権限をクリアするには、「削除されたユーザーの残余権限情報を完全にクリアする」をご参照ください。

構文

-- オブジェクトに対する権限の付与
grant <actions> on <object_type> <object_name>
[(<column_list>)] to <subject_type> <subject_name>
[privilegeproperties("conditions" = "<conditions>", "expires"="<days>")];

-- 列レベルの権限の付与または取り消し
grant <actions> on table <table_name> (<column_list>) to <subject_type> <subject_name>;
revoke <actions> on table <table_name> (<column_list>) from <subject_type> <subject_name>;

パラメーター

条件

privilegeproperties の conditions を使用して、リクエスト属性に基づくアクセス制限を追加します。

例

以下の例では、Alibaba Cloud アカウント Bob@aliyun.com が所有するプロジェクト test_project_a を使用します。Allen、Alice、および Tom は Bob@aliyun.com の RAM ユーザーです。すべての文は MaxCompute クライアントで実行されます。

例 1：ユーザーにテーブルレベルの権限を付与する

Describe 権限および Select 権限をテーブル sale_detail に対して RAM ユーザー Allen に付与します。

-- プロジェクトに切り替えます
use test_project_a;
-- パーティションテーブルを作成します
create table if not exists sale_detail
(
shop_name     string,
customer_id   string,
total_price   double
)
partitioned by (sale_date string, region string);
-- プロジェクトに Allen を追加します
add user RAM$Bob@aliyun.com:Allen;
-- 権限を付与します
grant Describe, Select on table sale_detail to USER RAM$Bob@aliyun.com:Allen;
-- 確認: Allen の権限を照会します
show grants for RAM$Bob@aliyun.com:Allen;
-- 期待される出力:
-- Authorization Type: ACL
-- [user/RAM$Bob@aliyun.com:Allen]
-- A       projects/test_project_a/tables/sale_detail: Describe | Select

例 2：ユーザーに列レベルの権限を付与する

sale_detail のカラム shop_name および customer_id に対するすべての権限を、RAM ユーザー Alice に付与します。

例 3：ロールを使用して複数のユーザーに同じ権限を付与する

RAM ユーザー Alice と Tom、および Alibaba Cloud アカウント Lily@aliyun.com に、プロジェクト test_project_a に対する CreateInstance、CreateResource、CreateFunction、CreateTable、および List 権限を付与します。

use test_project_a;
-- プロジェクトにメンバーを追加します
add user RAM$Bob@aliyun.com:Alice;
add user RAM$Bob@aliyun.com:Tom;
add user ALIYUN$Lily@aliyun.com;
-- Worker という名前のロールを作成します
create role Worker;
-- 3 人のメンバー全員にロールを割り当てます
grant Worker TO RAM$Bob@aliyun.com:Alice;
grant Worker TO RAM$Bob@aliyun.com:Tom;
grant Worker TO ALIYUN$Lily@aliyun.com;
-- プロジェクトに対する権限をロールに付与します
grant CreateInstance, CreateResource, CreateFunction, CreateTable, List on project test_project_a TO ROLE Worker;
-- 確認: Lily の権限をクエリします
show grants for ALIYUN$Lily@aliyun.com;
-- 期待される出力:
-- [roles]
-- worker
--
-- Authorization Type: ACL
-- [role/worker]
-- A       projects/test_project_a: CreateTable | CreateResource | CreateInstance | CreateFunction | List

前提条件

権限を付与する前:

• ロールがプロジェクトにすでに存在していること。list roles; を実行して確認します。ロールを作成するには、「ロールの計画」をご参照ください。

• 付与または拒否するオブジェクトタイプとアクションが特定されていること。

制限事項

権限はロールにのみ付与でき、ユーザーに直接付与することはできません。

注意事項

• ホワイトリストとブラックリストの両方のルールが適用される場合、ブラックリストが優先されます。

• 存在しないオブジェクトに対しても権限を付与できます。削除されたオブジェクトが同じ名前で再作成されると、保持されている権限レコードが自動的に適用されるため、セキュリティリスクが生じる可能性があります。

• プロジェクトからユーザーを削除しても、そのユーザーのロールベースの権限は保持されます。ユーザーが再度追加された場合、過去の権限が再度有効になります。残留権限をクリアするには、「削除されたユーザーの残留権限情報を完全にクリアする」をご参照ください。

構文

grant <actions> on <object_type> <object_name>
to ROLE <role_name>
privilegeproperties("policy" = "true", "allow"="{true|false}"[, "conditions"= "<conditions>" ,"expires"="<days>"]);

パラメーター

例

以下の例では、Alibaba Cloud アカウント Bob@aliyun.com が所有するプロジェクト test_project_a を使用します。Allen および Tom は、Bob@aliyun.com の RAM ユーザーです。RAM ユーザー Allen には、test_project_a の管理者ロールが割り当てられています。すべての文は、MaxCompute クライアントで実行されます。

例 1：ブラックリストメカニズムを使用してアクションを拒否する

ロール Worker (およびそれに割り当てられたユーザー) が、プロジェクト内で名前が tb_ で始まるテーブルを削除することを拒否します。

use test_project_a;
-- Worker という名前のロールを作成します
create role Worker;
-- Tom をプロジェクトに追加し、ロールを割り当てます
add user RAM$Bob@aliyun.com:Tom;
grant Worker TO RAM$Bob@aliyun.com:Tom;
-- マッチするテーブルに対する Drop 操作を拒否します
grant Drop on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "allow"="false");
-- 確認: Tom の権限を照会します
show grants for RAM$Bob@aliyun.com:Tom;
-- 期待される出力（D = 拒否）:
-- 承認タイプ: ポリシー
-- [role/worker]
-- D      projects/test_project_a/tables/tb_*: Drop

例 2：拒否ルールを取り消す

ユーザーからロールを削除することで、例 1 の Drop 拒否ルールを取り消します。

use test_project_a;
-- Tom から Worker ロールを取り消す
revoke Worker from RAM$Bob@aliyun.com:Tom;
-- 確認: Tom はもはや Drop 拒否ルールを持っていません
show grants for RAM$Bob@aliyun.com:Tom;

例 3：ホワイトリストメカニズムを使用してアクションを許可する

ロール Worker が、プロジェクト内で名前が tb_ で始まるテーブルを更新することを許可します。

use test_project_a;
create role Worker;
add user RAM$Bob@aliyun.com:Tom;
grant Worker TO RAM$Bob@aliyun.com:Tom;
-- 一致するテーブルに対する Update 操作を許可
grant Update on table tb_* to ROLE Worker privilegeproperties("policy" = "true", "allow"="true");
-- 検証: Tom の権限をクエリ
show grants for RAM$Bob@aliyun.com:Tom;
-- 予想される出力 (A = 許可):
-- Authorization Type: Policy
-- [role/worker]
-- A       projects/test_project_a/tables/tb_*: Update

例 4：許可ルールを取り消す

ユーザーからロールを削除することで、例 3 の Update 許可ルールを取り消します。

use test_project_a;
revoke Worker from RAM$Bob@aliyun.com:Tom;
-- Tom に Update 権限がなくなったことを確認します。
show grants for RAM$Bob@aliyun.com:Tom;

例 5：組み込みロールが割り当てられたユーザーを制限する

Allen には、すべての権限を付与する Admin ロールが割り当てられています。ポリシーブラックリストを使用して、Allen がテーブルを削除するのを防ぎます。

use test_project_a;
create role Worker;
grant Worker TO RAM$Tanaka@aliyun.com:Sato;
-- すべてのテーブルに対する Drop アクションを拒否
grant Drop on table * to ROLE Worker privilegeproperties("policy" = "true", "allow"="false");
-- 検証：Sato の権限をクエリ
show grants for RAM$Tanaka@aliyun.com:Sato;
-- 想定される出力：
-- [roles]
-- role_project_admin, worker
--
-- Authorization Type: Policy
-- [role/role_project_admin]
-- A       projects/test_project_a: *
-- A       projects/test_project_a/instances/*: *
-- A       projects/test_project_a/jobs/*: *
-- A       projects/test_project_a/offlinemodels/*: *
-- A       projects/test_project_a/packages/*: *
-- A       projects/test_project_a/registration/functions/*: *
-- A       projects/test_project_a/resources/*: *
-- A       projects/test_project_a/tables/*: *
-- A       projects/test_project_a/volumes/*: *
--
-- [role/worker]
-- A       projects/test_project_a/tables/tb_*: Update
-- D       projects/test_project_a/tables/*: Drop
--
-- Authorization Type: ObjectCreator
-- AG      projects/test_project_a/tables/local_test: All
-- AG      projects/test_project_a/tables/mr_multiinout_out1: All
-- AG      projects/test_project_a/tables/mr_multiinout_out2: All
-- AG      projects/test_project_a/tables/ramtest: All
-- AG      projects/test_project_a/tables/wc_in: All
-- AG      projects/test_project_a/tables/wc_in1: All
-- AG      projects/test_project_a/tables/wc_in2: All
-- AG      projects/test_project_a/tables/wc_out: All

例 6：組み込みロールユーザーから制限ルールを取り消す

Drop 拒否ルールを例 5 から取り消すには、Allen からロールを削除します。

USE test_project_a;
REVOKE Worker FROM RAM$Bob@aliyun.com:Allen;
-- 確認: Allen は、Drop 拒否ルールを保持しなくなりました。
SHOW GRANTS FOR RAM$Bob@aliyun.com:Allen;

制限事項

ロールをユーザーに割り当てる前に、プロジェクトオブジェクトに対する必要な権限をロールに付与してください。詳細については、「ロールまたはユーザーへの権限付与」をご参照ください。

構文

grant <role_name> to <user_name>;

パラメーター

例

-- player ロールを Alibaba Cloud アカウント test_user@aliyun.com に付与
grant player to ALIYUN$test_user@aliyun.com;

構文

grant <actions> on package <project_name>.<package_name> to {USER|ROLE} <name>;

注意事項

Read 権限が付与された後、ユーザーまたはロールはパッケージがインストールされているプロジェクト内でのみパッケージリソースにアクセスできます。きめ細かなパッケージ権限管理については、「パッケージのアクセス制御」をご参照ください。

パラメーター

例

Bella は、Alibaba Cloud アカウント Amy@aliyun.com の RAM ユーザーです。Bella にパッケージ datashare へのアクセスを付与します。

grant Read on package test_project_a.datashare to user RAM$Amy@aliyun.com:Bella;