このトピックでは、MaxCompute でサポートされている権限について説明します。
背景情報
MaxCompute は、プロジェクト、クォータ、ネットワーク接続、テーブル、関数、リソース、およびインスタンスに対してきめ細かいアクセス制御をサポートしています。 MaxCompute では、Tunnel のダウンロード、機密データへのアクセス、およびプロジェクト間のアクセスを制御することもできます。 操作範囲に基づいて、プロジェクト内のオブジェクトに対する特定の権限をユーザーに付与して、オブジェクトのセキュリティを確保できます。
承認には、次の主要な要素が関係します。
権限要素 | 説明 |
主体 | 権限を付与するユーザーまたはロール。 次の項目に注意してください。
説明 「承認者」とは、権限を付与するユーザーです。そのためには、承認者はターゲットオブジェクトとアクションに必要な権限を既に持っている必要があります。 |
オブジェクト | MaxCompute テナント内のオブジェクト。
MaxCompute プロジェクト内のオブジェクトまたは動作。
|
アクション | アクションは、オブジェクトタイプによって異なります。 たとえば、テーブルからデータを読み取ったり、テーブルにデータを書き込んだり、テーブルからデータをクエリしたりできます。 |
テナント内のオブジェクトに対する権限
次の表に、MaxCompute テナント内のオブジェクトの権限関係を示します。
オブジェクト | アクション | 説明 | 権限付与者 | 承認方法 |
Networklink | List | あらゆる種類のネットワーク接続を表示できます。 |
| ロールへの権限の付与: ポリシーベースのアクセス制御。 |
CreateNetworklink | MaxCompute テナントでネットワーク接続を作成できます。 | |||
Describe | MaxCompute テナント内のネットワーク接続のメタデータを読み取ることができます。 | |||
Drop | ネットワーク接続を削除できます。 | |||
All | ネットワーク接続ですべての前述の操作を実行できます。 | |||
クォータ | Usage | クォータは、主に |
|
プロジェクトおよびプロジェクト内のオブジェクトに対する権限
このセクションでは、MaxCompute プロジェクトおよび MaxCompute プロジェクト内のオブジェクトでサポートされている権限について説明します。
オブジェクト
次の表に、MaxCompute プロジェクトの権限関係と、MaxCompute プロジェクト内のオブジェクトの権限関係を示します。
オブジェクト
アクション
説明
承認者
承認方法
リソースの説明
プロジェクト
Read
プロジェクト内のオブジェクトを除く、プロジェクトに関する情報を表示できます。
プロジェクトオーナー
サポートされていません
acs:odps:*:projects/<project_name>
Write
プロジェクト内のオブジェクトを除く、プロジェクトに関する情報を更新できます。
List
プロジェクト内のあらゆる種類のオブジェクトをクエリできます。 たとえば、
SHOW TABLES;コマンドまたはSHOW FUNCTIONS;コマンドを実行して、テーブルまたは関数をクエリできます。プロジェクトオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
ユーザーまたはロールへの権限の付与: ACL ベースのアクセス制御
ロールへの権限の付与: ポリシーベースのアクセス制御
CreateTable
プロジェクトにテーブルを作成できます。 たとえば、
CREATE TABLE <table_name>...;コマンドを実行して、テーブルを作成できます。CreateInstance
プロジェクトにインスタンスを作成できます。 ジョブを実行すると、インスタンスが作成されます。
CreateFunction
プロジェクトに関数を作成できます。 たとえば、
CREATE FUNCTION <function_name> ...;コマンドを実行して、関数を作成できます。CreateResource
プロジェクトにリソースを追加できます。 たとえば、
add file|archive|py|jar <local_file>... ;コマンドまたはadd table <table_name> ...;コマンドを実行して、リソースを追加できます。All
プロジェクトですべての前述の操作を実行できます。
スキーマ
Describe
作成時刻、変更時刻、所有者など、スキーマのメタデータを読み取ることができます。 たとえば、
DESC SCHEMA <schema_name>;コマンドを実行できます。説明この権限には、スキーマ内のテーブル、リソース、および関数のメタデータの読み取りは含まれません。
プロジェクトオーナー
スキーマオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
acs:odps:*:projects/<project_name>/schemas/<schema_name>
Alter
スキーマのオーナーとコメントを含むメタデータを変更できます。たとえば、
ALTER Schema <schema_name> CHANGEOWNER TO <new_owner>;を実行するか、ALTER Schema <schema_name> SET COMMENT '<new_comment>';コマンド。説明この権限には、スキーマ内のテーブル、リソース、および関数のメタデータの変更は含まれません。
Drop
スキーマを削除できます。 たとえば、
DROP SCHEMA <schema_name>;コマンドを実行できます。List
スキーマ内のあらゆる種類のオブジェクトをクエリできます。 たとえば、
SHOW TABLES;コマンドまたはSHOW FUNCTIONS;コマンドを実行できます。CreateTable
スキーマにテーブルを作成できます。 たとえば、
CREATE TABLE <table_name>...;コマンドを実行できます。CreateFunction
スキーマに UDF を作成できます。 たとえば、
CREATE FUNCTION <function_name>...;コマンドを実行できます。CreateResource
スキーマにリソースを追加できます。 たとえば、
add file|archive|py|jar <local_file>...;コマンドまたはadd table <table_name> ...;コマンドを実行できます。All
スキーマですべての前述の操作を実行できます。
テーブル
Describe
テーブル構造、作成時刻、変更時刻、テーブルデータサイズなど、テーブルのメタデータを読み取ることができます。 たとえば、
DESC <table_name>;コマンドを実行できます。テーブルオーナー
プロジェクトオーナー
スキーマオーナー
Super_Administrator ロールが割り当てられたユーザー
Admin ロールが割り当てられたユーザー (テーブルオーナーの変更権限を除く)
3 層モデルが有効になる前:
acs:odps:*:projects/<project_name>/tables/<table_name>
3 層モデルが有効になった後:
acs:odps:*:projects/<project_name>/schemas/<schema_name>/tables/<table_name>
Select
テーブルのデータをクエリできます。 たとえば、
SELECT * FROM <table_name>;コマンドを実行できます。Alter
テーブルのメタデータを変更できます。 テーブルの所有者、テーブルの名前、または列の名前を変更したり、パーティションを追加または削除したりできます。 たとえば、
ALTER TABLE <table_name> ADD IF NOT EXISTS PARTITION ...;コマンドを実行できます。Update
テーブルのデータを更新できます。 たとえば、
INSERT INTO|OVERWRITE TABLE <table_name> ...;コマンド、UPDATE <table_name> SET ...;コマンド、またはDELETE FROM <table_name> WHERE ...;コマンドを実行できます。Drop
テーブルを削除できます。 たとえば、
DROP TABLE <table_name>;コマンドを実行できます。ShowHistory
テーブルのバックアップデータをクエリできます。 たとえば、
SHOW HISTORY FOR TABLE <table_name>;コマンドを実行できます。All
テーブルですべての前述の操作を実行できます。
関数
Read
MaxCompute UDF が呼び出されるプログラムファイルを読み取ることができます。
関数オーナー
プロジェクトオーナー
スキーマオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
3 層モデルが有効になる前: acs:odps:*:projects/<project_name>/registration/functions/<functions_name>
3 層モデルが有効になった後: acs:odps:*:projects/<project_name>/schemas/<schema_name>/registration/functions/<functions_name>
Write
UDF を更新できます。
Delete
UDF を削除できます。 たとえば、
DROP FUNCTION <function_name>;コマンドを実行できます。Execute
UDF を呼び出すことができます。 たとえば、
SELECT <function_name> FROM ...;コマンドを実行できます。All
関数ですべての前述の操作を実行できます。
リソース
Read
リソースを読み取ることができます。
リソースオーナー
プロジェクトオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
3 層モデルが有効になる前: acs:odps:*:projects/<project_name>/resources/<resources_name>
3 層モデルが有効になった後: acs:odps:*:projects/<project_name>/schemas/<schema_name>/resources/<resources_name>
Write
リソースを更新できます。
Delete
リソースを削除できます。 たとえば、
DROP RESOURCE <resource_name>;コマンドを実行できます。All
リソースですべての前述の操作を実行できます。
外部ボリューム
CreateVolume
外部ボリュームを作成できます。
外部ボリュームオーナー
プロジェクトオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
acs:odps:*:projects/<project_name>/volumes/<volume_name>
Read
外部ボリュームからデータを読み取ることができます。
Write
外部ボリュームのデータを更新できます。
Delete
外部ボリュームを削除できます。 たとえば、
vfs -rm -r <volume_path>;コマンドを実行できます。All
外部ボリュームですべての前述の操作を実行できます。
インスタンス
Read
インスタンスを読み取ることができます。
プロジェクトオーナー
Super_Administrator または Admin ロールが割り当てられたユーザー
acs:odps:*:projects/<project_name>/instances/*
Write
インスタンスを更新できます。
All
インスタンスですべての前述の操作を実行できます。
説明プロジェクトに対する CreateTable 権限と、プロジェクト内のテーブルに対する Select、Alter、Update、および Drop 権限は、プロジェクトに対する CreateInstance 権限と組み合わせて使用する必要があります。
プロジェクトに対する CreateInstance 権限なしで、プロジェクト内のテーブルに対する Select、Alter、Update、または Drop 権限を使用する場合、テーブルに対する操作を実行できません。 たとえば、プロジェクト A からプロジェクト B のテーブルのデータをクエリする場合、プロジェクト A に対する CreateInstance 権限と、プロジェクト B のテーブルに対する Select 権限が必要です。
プロジェクトで 3 層モデルが有効になった後、テーブル、関数、またはリソースのリソース URI にはスキーマレベルが含まれます。 元のリソース URI 形式
acs:odps:*:projects/<project_name>/tables/<table_name>は、defaultスキーマのリソースのみを表します。acs:odps:*:projects/<project_name>/schemas/default/tables/<table_name>と同等です。 必要に応じてリソース URI を調整することをお勧めします。
動作
次の表に、MaxCompute プロジェクト内のオブジェクトに対する動作の権限関係を示します。
オブジェクト
アクション
説明
権限付与者
承認方法
テーブル、関数、リソース、およびインスタンス
Download
Tunnel コマンドを使用して、テーブルデータ、リソース、関数、またはインスタンスをダウンロードできます。
プロジェクトオーナー
Super_Administrator ロールが割り当てられたユーザー
ラベル
該当なし
列レベルで機密データを読み取ることができます。
プロジェクトオーナー
Admin ロールが割り当てられたユーザー
パッケージ
Read
プロジェクト内のオブジェクトと、オブジェクトに対する許可された操作権限をパッケージ化し、生成されたパッケージを使用してプロジェクト間の承認をサポートできます。
プロジェクトオーナー
Admin ロールが割り当てられたユーザー
プロジェクト管理の権限
次の表に、MaxCompute 管理権限を設定するため実行できる操作を示します。
権限の種類
アクション
説明
プロジェクトセキュリティ構成
SetSecurityConfiguration
プロジェクトのセキュリティ構成を設定できます。
GetSecurityConfiguration
プロジェクトのセキュリティ構成を表示できます。
SetProperty
プロジェクトの IP アドレス ホワイトリストを構成できます。
ポリシー管理
PutPolicy
ポリシーを更新できます。
GetPolicy
ポリシー情報を表示できます。
AddPolicyStatments
ポリシー ステートメントを追加できます。
RemovePolicyStatments
ポリシー ステートメントを削除できます。
アカウントプロバイダー管理
AddAccountProviders
アカウントプロバイダーを追加できます。
RemoveAccountProviders
アカウントプロバイダーを削除できます。
ListAccountProviders
すべてのアカウントプロバイダーを表示できます。
信頼できるプロジェクトの管理
AddTrustedProjects
信頼できるプロジェクトを追加できます。
RemoveTrustedProjects
信頼できるプロジェクトを削除できます。
ListTrustedProjects
すべての信頼できるプロジェクトを表示できます。
プリンシパル管理
AddUser
ユーザーを追加できます。
RemoveUser
ユーザーを削除できます。
ListUsers
すべてのユーザーを表示できます。
ListUserRoles
ユーザーに割り当てられているロールを表示できます。
ロール管理
CreateRole
ロールを作成できます。
DescribeRole
ロールに関する情報をクエリできます。
AlterRole
ロールのプロパティを変更できます。
DropRole
ロールを削除できます。
ListRoles
ロールを一覧表示します。
ロールの承認
GrantRole
ユーザーにロールを割り当てることができます。
RevokeRole
ユーザーからロールを取り消すことができます。
ListRolePrincipals
ロールが割り当てられているユーザーを表示できます。
パッケージ管理
CreatePackage
パッケージを作成できます。
DescribePackage
パッケージに関する情報を表示できます。
DropPackage
パッケージを削除できます。
ShowPackages
すべてのパッケージを表示できます。
InstallPackage
パッケージをインストールできます。
UninstallPackage
パッケージをアンインストールできます。
AllowInstallPackage
パッケージに対する権限を他のプロジェクトに付与できます。
DisallowInstallPackage
他のプロジェクトからパッケージに対する権限を取り消すことができます。
AddPackageResource
パッケージにリソースを追加できます。
RemovePackageResource
パッケージからリソースを削除できます。
ラベルベースのアクセス制御
GrantLabel
ラベルを設定できます。
RevokeLabel
ラベルベースの承認を無効にできます。
ShowLabelGrants
ラベルの承認を表示します。
SetDataLabel
ユーザーまたはロールのラベルを構成できます。
ACL ベースのアクセス制御
GrantPrivs
アクセス制御リスト (ACL) に基づいて権限を付与できます。
RevokePrivs
ACL に基づいて付与された権限を取り消すことができます。
ShowAclGrants
ACL に基づいて付与された権限を表示できます。
期限切れの権限のクリア
ClearExpiredGrants
期限切れの権限に関する情報をクリアできます。
次の表に、管理権限のリソース URI を示します。
説明次のリソース URI では、
acs:odps:*:projects/<project_name>/の部分は省略され、<project_name>/に続く部分のみが提供されます。権限リソースカテゴリ
リソース URI
説明
プロジェクトセキュリティ構成
authorization/configurations/security_configuration
プロジェクト security_configuration
authorization/configurations/policy
プロジェクト ポリシー
authorization/configurations/security_policy
プロジェクト security_policy
authorization/configurations/protected_exception
プロジェクト protected_exception
プロジェクト
authorization
プロジェクトのアカウントプロバイダーや信頼できるプロジェクトなどの管理オブジェクト
プロジェクト プリンシパル
authorization/users
プロジェクトのユーザー
プロジェクト ロール
authorization/roles/resource/<role_name>
プロジェクトのリソースロール
authorization/roles/administrator/<role_name>
プロジェクトの管理者ロール
authorization/roles/super_administrator/super_administrator
プロジェクトに組み込まれている super_administrator ロール
プロジェクト リソース
authorization/objecttype/objectname
テーブル、ボリューム、ジョブなどのリソース
パッケージ管理
authorization/packages/<projectname>.<packagename>
パッケージ権限
パッケージ リソース
authorization/packageresources/projectname.packagename/objecttype/objectname
パッケージ内のリソース
使用上の注意:
特定のユーザーを識別する場合、ユーザー名が必要です。 URI を使用してユーザーカテゴリのみを識別できますが、特定のユーザーは識別できません。
URI を使用して特定のロールを識別できます。
すべてのパッケージとすべてのパッケージ内のリソースの間の意味の違いを区別するために、パッケージの URI は
packages/projectname.packagenameの形式であり、すべてのパッケージ内のリソースの URI はpackageresources/projectname.packagename/objecttype/objectnameの形式です。 このようにして、packages/*を使用してすべてのパッケージを示し、packageresources/*を使用してパッケージ内のすべてのリソースを示すことができます。
次の表に、管理権限を示します。
権限の種類
権限
アクション
リソース
プロジェクトのセキュリティ構成権限
プロジェクトのセキュリティ構成を設定できます。
SetSecurityConfigurationprojects/<project_name>/authorization/configurations/security_configurationプロジェクトのセキュリティ構成を表示できます。
GetSecurityConfigurationポリシーを設定できます。
PutPolicyprojects/<project_name>/authorization/configurations/policyポリシー情報を表示できます。
GetPolicyprotected_exception を設定できます。
PutPolicyprojects/<project_name>/authorization/configurations/protected_exceptionprotected_exception を表示できます。
GetPolicysecurity_policy を設定できます。
PutPolicyprojects/<project_name>/authorization/configurations/security_policysecurity_policy を表示できます。
GetPolicyプロジェクトアカウントプロバイダーの管理
アカウントプロバイダーを追加できます。
AddAccountProviderprojects/<project_name>/authorizationアカウントプロバイダーを削除できます。
RemoveAccountProviderすべてのアカウントプロバイダーを表示できます。
ListAccountProviders信頼できるプロジェクトの管理
信頼できるプロジェクトを追加できます。
AddTrustedProjectsprojects/<project_name>/authorization信頼できるプロジェクトを削除できます。
RemoveTrustedProjectsすべての信頼できるプロジェクトを表示できます。
ListTrustedProjectsプロジェクト プリンシパルの管理
ユーザーを追加できます。
AddUserprojects/<project_name>/authorization/usersユーザーを削除できます。
RemoveUserすべてのユーザーを表示できます。
ListUsersユーザーロールを一覧表示します。
ListUserRolesプロジェクト ロールの管理
リソースロールを作成できます。
CreateRoleprojects/<project_name>/authorization/roles/resourceリソースロールに関する情報をクエリできます。
DescribeRoleprojects/<project_name>/authorization/roles/resource/<role_name>リソースロールを削除できます。
DropRole管理者ロールを作成できます。
なし
説明プロジェクトオーナーまたは Super_Administrator ロールを持つユーザーのみが、管理者ロールを作成し、管理者ロールに権限を付与できます。
管理者ロールを削除できます。
管理者ロールに関する情報をクエリできます。
DescribeRoleprojects/<project_name>/authorization/roles/administrator/<role_name>ロールを一覧表示します。
ListRolesprojects/<project_name>/authorization/rolesプロジェクト内のロールのポリシー管理
プロジェクト内のリソースロールに関するポリシーを設定できます。
PutPolicyprojects/<project_name>/authorization/roles/resource/<role_name>プロジェクト内のリソースロールに関するポリシーを表示できます。
GetPolicyリソースタイプのロール PolicyStatements を追加します。
AddPolicyStatmentsprojects/<project_name>/authorization/roles/resource/<role_name>リソースロールポリシーの設定に使用されるステートメントを削除できます。
RemovePolicyStatments管理者ロールに関するポリシーを設定できます。
なし
説明プロジェクトオーナーまたは Super_Administrator ロールが割り当てられたユーザーのみが、管理者ロールを作成し、管理者ロールに権限を付与できます。
管理者ロールに関するポリシーを表示できます。
GetPolicyprojects/<project_name>/authorization/roles/administrator/<role_name>管理者ロールポリシーの設定に使用されるステートメントを追加できます。
なし
説明プロジェクトオーナーまたは Super_Administrator ロールが割り当てられたユーザーのみが、管理者ロールを作成し、管理者ロールに権限を付与できます。
管理者ロールポリシーの設定に使用されるステートメントを削除できます。
ロールの割り当てと表示
リソースロールをユーザーに割り当てることができます。
GrantRoleprojects/<project_name>/authorization/roles/resource/<role_name>ユーザーからリソースロールを取り消すことができます。
RevokeRole管理者ロールをユーザーに割り当てることができます。
GrantRoleprojects/<project_name>/authorization/roles/administrator/<role_name>ユーザーから管理者ロールを取り消すことができます。
RevokeRoleSuper_Administrator ロールをユーザーに割り当てることができます。
なし
説明プロジェクトオーナーまたは Super_Administrator ロールが割り当てられたユーザーのみが、Super_Administrator ロールをユーザーに割り当てたり、ユーザーから取り消したりできます。
ユーザーから Super_Administrator ロールを取り消すことができます。
リソースロールが割り当てられているユーザーを表示できます。
ListRolePrincipalsprojects/<project_name>/authorization/roles/resource/<role_name>管理者ロールが割り当てられているユーザーを表示できます。
ListRolePrincipalsprojects/<project_name>/authorization/roles/administrator/<role_name>Super_Administrator ロールが割り当てられているユーザーを表示できます。
ListRolePrincipalsprojects/<project_name>/authorization/roles/super_administrator/super_administratorユーザーに割り当てられているロールを表示できます。
ListPrincipalRolesprojects/<project_name>/authorization/principals/usersパッケージ管理
パッケージを作成できます。
CreatePackageprojects/<project_name>/authorization/packagesパッケージを表示できます。
ShowPackagesパッケージに関する情報をクエリできます。
DescribePackageprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>パッケージを削除できます。
DropPackageパッケージをインストールできます。
InstallPackageprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>パッケージをアンインストールできます。
UninstallPackageパッケージに対する権限を他のプロジェクトに付与できます。
AllowInstallPackageprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>他のプロジェクトからパッケージに対する権限を取り消すことができます。
DisallowInstallPackageパッケージにリソースを追加できます。
AddPackageResourceprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>パッケージからリソースを削除できます。
RemovePackageResourceラベルベースのアクセス制御
プロジェクト内のリソースに対してラベルベースのアクセス制御を有効にできます。
GrantLabelprojects/<project_name>/authorization/schemas/*/tables/*説明アスタリスク (*) を使用してすべてのリソースを指定できます。 たとえば、
tables/*を使用して、プロジェクト内のすべてのテーブルを指定できます。プロジェクト内のリソースに対してラベルベースのアクセス制御を無効にできます。
RevokeLabelプロジェクト内のリソースに対してラベルベースのアクセス制御を表示できます。
ShowLabelGrantsパッケージに対してラベルベースのアクセス制御を有効にできます。
GrantLabelprojects/<project_name>/authorization/packageresources/<package_creater_project_name>.<package_name>/<resource_relative_id>パッケージに対してラベルベースのアクセス制御を無効にできます。
RevokeLabelパッケージ内のリソースに対してラベルベースのアクセス制御を表示できます。
ShowLabelGrantsユーザーのラベルベースのアクセス制御を表示できます。
ShowLabelGrantsprojects/<project_name>/authorization/usersロールのラベルベースのアクセス制御を表示できます。
ShowLabelGrantsprojects/<project_name>/authorization/roles/resource/<role_name>説明管理者ロールに対してラベルベースのアクセス制御を有効化、設定、または表示することはできません。
ユーザーとロールのアクセスレベル ラベル構成
ユーザーのアクセスレベル ラベルを設定できます。
SetDataLabelprojects/<project_name>/authorization/usersロールのアクセスレベル ラベルを設定できます。
SetDataLabelprojects/<project_name>/authorization/roles/resource/<role_name>ACL ベースのアクセス制御
プロジェクト内のリソースに対して ACL ベースのアクセス制御を有効にできます。
GrantPrivsprojects/<project_name>/authorization/<resource_relative_id>説明ポリシーで次の文字列セット演算子を使用して、付与または取り消しできる
actionsを管理できます:StringIntersectSetEmpty(IgnoreCase), StringIntersectSetNotEmpty(IgnoreCase), StringSubSet(IgnoreCase), and StringNotSubSet(IgnoreCase)。acs:Privilegesを条件のキーワードとして使用できます。たとえば、次のポリシーを使用して、ユーザー
odpsxxxx@aliyun.comがDownload権限またはSelect権限をprj1プロジェクトのすべてのテーブルに付与することを拒否できます:{ "Action":[ "odps:GrantPrivs"], "Effect":"Deny", "Principal":"aliyun$odpsxxxx@aliyun.com", "Resource":"acs:odps::projects/prj1/authorization/acl/tables/*", "Condition":{ "IntersectionSetNotNull":{ "acs:Privileges":["Download","Select"] } } }プロジェクトの
resource_relative_idは、projects/<project_name>形式です。
プロジェクト内のリソースに対して ACL ベースのアクセス制御を無効にできます。
RevokePrivsプロジェクト内のリソースに対して ACL ベースのアクセス制御を表示できます。
ShowAclGrantsパッケージに対して ACL ベースのアクセス制御を有効にできます。
GrantPrivsprojects/<project_name>/authorization/packageresources/<package_creater_project_name>.<package_name>/<resource_relative_id>パッケージに対して ACL ベースのアクセス制御を無効にできます。
RevokePrivsパッケージに対して ACL ベースのアクセス制御を表示できます。
ShowAclGrantsACL に基づいてユーザーに付与されている権限を表示できます。
ShowAclGrantsprojects/<project_name>/authorization/usersACL に基づいてリソースロールに付与されている権限を表示できます。
ShowAclGrantsprojects/<project_name>/authorization/roles/resource/<role_name>期限切れの権限のクリア
期限切れの権限に関する情報をクリアできます。
ClearExpiredGrantsprojects/<project_name>/authorization