このトピックでは、MaxCompute がサポートする権限について説明します。
背景情報
MaxCompute は、プロジェクト、クォータ、ネットワーク接続、およびプロジェクト内のオブジェクト (テーブル、モデル、関数、リソース、インスタンスなど) に対して、詳細なアクセスの制御を提供します。また、Tunnel のダウンロード、機密データへのアクセス、およびクロスプロジェクトアクセスも制御できます。オブジェクトのセキュリティを確保するために、操作範囲に基づいてプロジェクト内のオブジェクトに対する特定の権限をユーザーに付与できます。
権限付与には、次の 3 つの要素が含まれます。
権限要素 | 説明 |
件名 | プリンシパルは、権限が付与されるユーザーまたはロールです。 Note:
説明 権限付与者は、権限付与操作を実行するユーザーです。権限付与者は、ターゲットオブジェクトと操作に対する権限を付与する能力がある場合にのみ、これらの操作を実行できます。 |
オブジェクト | MaxCompute テナント内のオブジェクト。
MaxCompute プロジェクト内のオブジェクトまたは動作。
|
アクション | 操作はオブジェクトタイプによって異なります。オブジェクトタイプが異なれば、サポートされる操作も異なります。たとえば、テーブルに対して読み取り、書き込み、クエリ操作を実行できます。 |
テナント内のオブジェクトに対する権限
次の表に、MaxCompute テナント内のオブジェクトに対する権限を示します。
オブジェクト | アクション | 説明 | サポートされる権限付与者 | 承認方法 |
Networklink | List | すべてのタイプのネットワーク接続オブジェクトのリストを表示します。 |
| ロールへの権限の付与: ポリシーベースのアクセス制御。 |
CreateNetworklink | テナントにネットワーク接続オブジェクト (Networklink) を作成します。 | |||
Describe | ネットワーク接続オブジェクトのメタデータを読み取ります。 | |||
Drop | ネットワーク接続オブジェクトを削除します。 | |||
All | ネットワーク接続オブジェクトに対する前述のすべての権限。 | |||
クォータ | Usage | クォータは、主に |
|
プロジェクトおよびプロジェクト内のオブジェクトに対する権限
MaxCompute プロジェクトおよびプロジェクト内のオブジェクトに対する権限を次の表に示します。
オブジェクト
次の表に、MaxCompute プロジェクト内のオブジェクトに対する権限を示します。
オブジェクト
アクション
説明
サポートされるプリンシパル
承認方法
リソースの説明
プロジェクト
Read
プロジェクト自体の情報を表示します。これには、プロジェクト内のオブジェクトは含まれません。
プロジェクトオーナー
サポートされていません
acs:odps:*:projects/<project_name>
Write
プロジェクト自体の情報を更新します。これには、プロジェクト内のオブジェクトは含まれません。
List
プロジェクト内のすべてのタイプのオブジェクトをクエリできます。たとえば、
SHOW TABLES;、SHOW FUNCTIONS;、またはSHOW MODELS;です。プロジェクトオーナー
Super_Administrator または Admin ロールを持つユーザー
ユーザーまたはロールへの権限の付与: ACL ベースのアクセス制御
ロールへの権限の付与: ポリシーベースのアクセス制御
CreateTable
プロジェクトにテーブルを作成できます。たとえば、
CREATE TABLE <table_name>...;です。CreateModel
プロジェクトにモデルを作成します。たとえば、
CREATE Model <model_name>...;です。CreateInstance
プロジェクトにインスタンスを作成します。これはジョブの実行を意味します。
CreateFunction
プロジェクトに関数を作成できます。たとえば、
CREATE FUNCTION <function_name> ...;です。CreateResource
プロジェクトにリソースを追加できます。 たとえば、
add file|archive|py|jar <local_file>... ;コマンドまたはadd table <table_name> ...;コマンドを実行して、リソースを追加できます。All
プロジェクトに対する前述のすべての権限。
スキーマ
Describe
作成時刻、変更時刻、所有者など、スキーマのメタデータを読み取ることができます。 たとえば、
DESC SCHEMA <schema_name>;コマンドを実行できます。説明この権限には、スキーマ内のテーブル、リソース、および関数のメタデータは含まれません。
プロジェクトオーナー
スキーマオーナー
Super_Adminstrator または Admin ロールを持つユーザー
acs:odps:*:projects/<project_name>/schemas/<schema_name>
Alter
スキーマのオーナーとコメントを含むメタデータを変更できます。たとえば、
ALTER Schema <schema_name> CHANGEOWNER TO <new_owner>;を実行するか、ALTER Schema <schema_name> SET COMMENT '<new_comment>';を実行できます。説明この権限には、スキーマ内のテーブル、リソース、および関数のメタデータの変更は含まれません。
Drop
スキーマをドロップします。たとえば、
DROP SCHEMA <schema_name>;です。List
スキーマ内のすべてのタイプのオブジェクトをクエリできます。例としては、
SHOW TABLES;、SHOW FUNCTIONS;、SHOW MODELS;などがあります。CreateTable
スキーマにテーブルを作成できます。たとえば、
CREATE TABLE <table_name>...;です。CreateModel
スキーマにモデルを作成します。たとえば、
CREATE Model <model_name>...;です。CreateFunction
スキーマにユーザー定義関数を作成できます。たとえば、
CREATE FUNCTION <function_name>...;コマンドを実行できます。CreateResource
スキーマにリソースを追加します。たとえば、
add file|archive|py|jar <local_file>...;またはadd table <table_name> ...;です。All
スキーマに対する前述のすべての権限。
テーブル
Describe
テーブルのメタデータ (テーブルスキーマ、作成時間、変更時間、テーブルデータサイズなど) を読み取ることができます。たとえば、
DESC <table_name>;コマンドを実行できます。テーブルオーナー
プロジェクトオーナー
スキーマオーナー
Super_Administrator ロールを持つユーザー
Admin ロールを持つユーザー (テーブルオーナーは変更できません)
3 層モデルが有効になる前:
acs:odps:*:projects/<project_name>/tables/<table_name>
3 層モデルが有効になった後:
acs:odps:*:projects/<project_name>/schemas/<schema_name>/tables/<table_name>
Select
テーブルのデータをクエリできます。 たとえば、
SELECT * FROM <table_name>;コマンドを実行できます。Alter
テーブルのメタデータ (テーブルオーナー、テーブル名、列名の変更、パーティションの追加または削除など) を変更できます。たとえば、
ALTER TABLE <table_name> ADD IF NOT EXISTS PARTITION ...;コマンドを実行できます。Update
テーブルのデータを更新できます。 たとえば、
INSERT INTO|OVERWRITE TABLE <table_name> ...;コマンド、UPDATE <table_name> SET ...;コマンド、またはDELETE FROM <table_name> WHERE ...;コマンドを実行できます。Drop
テーブルを削除できます。 たとえば、
DROP TABLE <table_name>;コマンドを実行できます。ShowHistory
テーブルのバックアップデータをクエリできます。 たとえば、
SHOW HISTORY FOR TABLE <table_name>;コマンドを実行できます。All
テーブルに対する前述のすべての権限。
モデル
Describe
モデルのメタデータ (モデルタイプ、バージョン、説明、作成時間など) を読み取ります。たとえば、
DESC <model_name>...;モデルオーナー
プロジェクトオーナー
スキーマオーナー
Super_Administrator ロールを持つユーザー
Admin ロールを持つユーザー (モデルオーナーは変更できません)
3 層モデルが有効になる前: acs:odps:*:projects/<project_name>/models/<model_name>
3 層モデルが有効になった後: acs:odps:*:projects/<project_name>/schemas/<schema_name>/models/<model_name>
Execute
モデルを呼び出します。これには、推論のために AI 関数でモデルを指定することが含まれます。
Alter
モデルのメタデータ (新しいモデルバージョンの追加やデフォルトバージョンの変更など) を変更します。たとえば、
ALTER Model <model_name>...;です。Drop
モデルを削除します。たとえば、
DROP MODEL <table_name>;です。All
モデルに対する前述のすべての権限。
関数
Read
MaxCompute UDF のプログラムファイルを読み取ります。
関数オーナー
プロジェクトオーナー
スキーマオーナー
Super_Administrator または Admin ロールを持つユーザー
3 層モデルが有効になる前: acs:odps:*:projects/<project_name>/registration/functions/<functions_name>
3 層モデルが有効になった後: acs:odps:*:projects/<project_name>/schemas/<schema_name>/registration/functions/<functions_name>
Write
UDF を更新します。
Delete
UDF を削除できます。 たとえば、
DROP FUNCTION <function_name>;コマンドを実行できます。Execute
UDF を呼び出すことができます。 たとえば、
SELECT <function_name> FROM ...;コマンドを実行できます。All
関数に対する前述のすべての権限。
リソース
Read
リソースを読み取ります。
リソースオーナー
プロジェクトオーナー
Super_Administrator または Admin ロールを持つユーザー
3 層モデルが有効になる前: acs:odps:*:projects/<project_name>/resources/<resources_name>
3 層モデルが有効になった後: acs:odps:*:projects/<project_name>/schemas/<schema_name>/resources/<resources_name>
Write
リソースを更新します。
Delete
リソースを削除できます。 たとえば、
DROP RESOURCE <resource_name>;コマンドを実行できます。All
リソースに対する前述のすべての権限。
外部ボリューム
CreateVolume
外部ボリュームを作成します。
外部ボリュームオーナー
プロジェクトオーナー
Super_Administrator または Admin ロールを持つユーザー
acs:odps:*:projects/<project_name>/volumes/<volume_name>
Read
外部ボリュームからデータを読み取ります。
Write
外部ボリュームのデータを更新します。
Delete
外部ボリュームを削除できます。 たとえば、
vfs -rm -r <volume_path>;コマンドを実行できます。All
外部ボリュームに対する前述のすべての権限。
インスタンス
Read
インスタンスを読み取ります。
プロジェクトオーナー
Super_Administrator または Admin ロールを持つユーザー
acs:odps:*:projects/<project_name>/instances/*
Write
インスタンスを更新します。
All
インスタンスに対する前述のすべての権限。
説明プロジェクトに対する CreateTable 権限、およびプロジェクト内のテーブルに対する Select、Alter、Update、Drop 権限には、プロジェクトに対する CreateInstance 権限が必要です。
テーブルに対する Select、Alter、Update、または Drop 権限を持っていても、プロジェクトに対する CreateInstance 権限がない場合、対応する操作は実行できません。たとえば、プロジェクト A からプロジェクト B のテーブルをクエリするには、プロジェクト A に対する CreateInstance 権限と、プロジェクト B のテーブルに対する Select 権限が必要です。
プロジェクトで 3 層モデルが有効になった後、テーブル、関数、またはリソースのリソース URI にはスキーマレベルが含まれます。 元のリソース URI 形式
acs:odps:*:projects/<project_name>/tables/<table_name>は、defaultスキーマのリソースのみを表します。acs:odps:*:projects/<project_name>/schemas/default/tables/<table_name>と同等です。 必要に応じてリソース URI を調整することをお勧めします。
動作
次の表に、MaxCompute プロジェクト内のオブジェクトに関連する動作に対する権限を示します。
オブジェクト
アクション
説明
権限付与者
承認方法
テーブル、関数、リソース、インスタンス
Download
Tunnel を使用して、テーブルデータ、リソース、関数、またはインスタンスをダウンロードします。
プロジェクトオーナー
Super_Administrator ロールを持つユーザー
ラベル
該当なし
列レベルの機密データを読み取ります。
プロジェクトオーナー
Admin ロールを持つユーザー
パッケージ
Read
プロジェクト内のオブジェクトとその権限をパッケージ化して、クロスプロジェクトアクセスを許可します。
プロジェクトオーナー
Admin ロールを持つユーザー
プロジェクト管理権限
次の表に、MaxCompute 管理権限に関連付けられている操作を示します。
権限の種類
操作リスト
説明
プロジェクトのセキュリティ構成
SetSecurityConfiguration
プロジェクトのセキュリティ構成を設定します。
GetSecurityConfiguration
プロジェクトのセキュリティ構成を表示します。
SetProperty
プロジェクトの IP アドレスホワイトリストを設定します。
ポリシー管理
PutPolicy
ポリシーを更新します。
GetPolicy
ポリシーを表示します。
AddPolicyStatments
ポリシーステートメントを追加します。
RemovePolicyStatments
ポリシーステートメントを削除します。
アカウントプロバイダー管理
AddAccountProviders
アカウントプロバイダーを追加します。
RemoveAccountProviders
アカウントプロバイダーを削除します。
ListAccountProviders
アカウントプロバイダーをリスト表示します。
信頼できるプロジェクトの管理
AddTrustedProjects
信頼できるプロジェクトを追加します。
RemoveTrustedProjects
信頼できるプロジェクトを削除します。
ListTrustedProjects
信頼できるプロジェクトをリスト表示します。
プリンシパル管理
AddUser
ユーザーを追加します。
RemoveUser
ユーザーを削除します。
ListUsers
ユーザーをリスト表示します。
ListUserRoles
ユーザーのロールをリスト表示します。
ロール管理
CreateRole
ロールを作成します。
DescribeRole
ロールを表示します。
AlterRole
ロールのプロパティを変更します。
DropRole
ロールを削除します。
ListRoles
ロールを一覧表示します。
ロールの承認
GrantRole
ユーザーにロールを付与します。
RevokeRole
ユーザーからロールを取り消します。
ListRolePrincipals
ロールが付与されているユーザーのリストを表示します。
パッケージ管理
CreatePackage
パッケージを作成します。
DescribePackage
パッケージを表示します。
DropPackage
パッケージを削除します。
ShowPackages
パッケージをリスト表示します。
InstallPackage
パッケージをインストールします。
UninstallPackage
パッケージをアンインストールします。
AllowInstallPackage
他のプロジェクトがパッケージを使用することを許可します。
DisallowInstallPackage
他のプロジェクトがパッケージを使用することを禁止します。
AddPackageResource
パッケージにリソースを追加します。
RemovePackageResource
パッケージからリソースを削除します。
ラベル権限の制御
GrantLabel
ラベル権限を付与します。
RevokeLabel
ラベル権限を取り消します。
ShowLabelGrants
ラベル権限を表示します。
SetDataLabel
ユーザーまたはロールにデータラベルを設定します。
ACL 権限の制御
GrantPrivs
ACL 権限を付与します。
RevokePrivs
ACL 権限を取り消します。
ShowAclGrants
ACL 権限を表示します。
期限切れの権限のクリア
ClearExpiredGrants
期限切れの権限をクリアします。
管理権限のリソースカテゴリ:
説明次のリソース URI では、
acs:odps:*:projects/<project_name>/の部分は省略されています。<project_name>/に続く部分のみが提供されます。権限オブジェクトカテゴリ
リソース URI
説明
プロジェクトのセキュリティ構成
authorization/configurations/security_configuration
プロジェクト security_configuration
authorization/configurations/policy
プロジェクト ポリシー
authorization/configurations/security_policy
プロジェクト security_policy
authorization/configurations/protected_exception
プロジェクト protected_exception
プロジェクト
authorization
プロジェクト内のアカウントプロバイダーや信頼できるプロジェクトなどの管理オブジェクト。
プロジェクト プリンシパル
authorization/users
プロジェクトユーザー。
プロジェクト ロール
authorization/roles/resource/<role_name>
プロジェクトリソースロール。
authorization/roles/administrator/<role_name>
プロジェクト管理者ロール。
authorization/roles/super_administrator/super_administrator
プロジェクトの組み込み super_administrator ロール。
プロジェクト リソース
authorization/objecttype/objectname
Table、Volume、Job などのリソース。
パッケージ管理
authorization/packages/<projectname>.<packagename>
パッケージ関連の権限。
パッケージ リソース
authorization/packageresources/projectname.packagename/objecttype/objectname
パッケージ内のリソース。
使用上の注意:
ユーザーの場合、ユーザー名が関係するため、URI は特定のユーザーではなく、ユーザーカテゴリのみを指定できます。
ロールの場合、URI は特定のロールを指定できます。
パッケージとパッケージ内のリソースのセマンティックな違いを区別するために、パッケージの URI 形式は
packages/projectname.packagenameであり、パッケージ内のリソースの URI 形式はpackageresources/projectname.packagename/objecttype/objectnameです。これにより、packages/*を使用してすべてのパッケージを表し、packageresources/*を使用してすべてのパッケージにわたるすべてのリソースを表すことができます。
次の表に、管理権限を示します。
権限の種類
権限
アクション
リソース
プロジェクトのセキュリティ構成権限
セキュリティ構成を設定します。
SetSecurityConfigurationprojects/<project_name>/authorization/configurations/security_configurationセキュリティ構成を表示します。
GetSecurityConfigurationポリシーを設定します。
PutPolicyprojects/<project_name>/authorization/configurations/policyポリシーを表示します。
GetPolicyprotected_exception を設定します。
PutPolicyprojects/<project_name>/authorization/configurations/protected_exceptionprotected_exception を表示します。
GetPolicysecurity_policy を設定します。
PutPolicyprojects/<project_name>/authorization/configurations/security_policysecurity_policy を表示します。
GetPolicyプロジェクトアカウントプロバイダー管理
アカウントプロバイダーを追加します。
AddAccountProviderprojects/<project_name>/authorizationアカウントプロバイダーを削除します。
RemoveAccountProviderアカウントプロバイダーをリスト表示します。
ListAccountProvidersプロジェクトの信頼できるプロジェクトの管理
信頼できるプロジェクトを追加します。
AddTrustedProjectsprojects/<project_name>/authorization信頼できるプロジェクトを削除します。
RemoveTrustedProjects信頼できるプロジェクトをリスト表示します。
ListTrustedProjectsプロジェクトプリンシパル管理
ユーザーを追加します。
AddUserprojects/<project_name>/authorization/usersユーザーを削除します。
RemoveUserユーザーをリスト表示します。
ListUsersユーザーロールを一覧表示します。
ListUserRolesプロジェクトロール管理
リソースロールを追加します。
CreateRoleprojects/<project_name>/authorization/roles/resourceリソースロールを表示します。
DescribeRoleprojects/<project_name>/authorization/roles/resource/<role_name>リソースロールを削除します。
DropRole管理者ロールを追加します。
N/A
説明プロジェクトオーナーまたは Super_Administrator ロールを持つユーザーのみが、管理者ロールを作成し、そのロールに権限を付与できます。
管理者ロールを削除します。
管理者ロールを表示します。
DescribeRoleprojects/<project_name>/authorization/roles/administrator/<role_name>ロールを一覧表示します。
ListRolesprojects/<project_name>/authorization/rolesプロジェクトロールのポリシー管理
リソースロールのポリシーを設定します。
PutPolicyprojects/<project_name>/authorization/roles/resource/<role_name>リソースロールのポリシーを表示します。
GetPolicyリソースロールにポリシーステートメントを追加します。
AddPolicyStatmentsprojects/<project_name>/authorization/roles/resource/<role_name>リソースロールからポリシーステートメントを削除します。
RemovePolicyStatments管理者ロールのポリシーを設定します。
N/A
説明プロジェクトオーナーまたは Super_Administrator ロールを持つユーザーのみが、管理者ロールを作成し、そのロールに権限を付与できます。
管理者ロールのポリシーを表示します。
GetPolicyprojects/<project_name>/authorization/roles/administrator/<role_name>管理者ロールにポリシーステートメントを追加します。
N/A
説明プロジェクトオーナーまたは Super_Administrator ロールを持つユーザーのみが、管理者ロールを作成し、そのロールに権限を付与できます。
管理者ロールからポリシーステートメントを削除します。
ロールの権限付与と表示
ユーザーにリソースロールを付与します。
GrantRoleprojects/<project_name>/authorization/roles/resource/<role_name>ユーザーからリソースロールを取り消します。
RevokeRoleユーザーに管理者ロールを付与します。
GrantRoleprojects/<project_name>/authorization/roles/administrator/<role_name>ユーザーから管理者ロールを取り消します。
RevokeRoleユーザーに Super_Administrator ロールを付与します。
N/A
説明プロジェクトオーナーまたは Super_Administrator ロールを持つユーザーのみが、Super_Administrator ロールを付与または取り消すことができます。
ユーザーから Super_Administrator ロールを取り消します。
リソースロールが付与されているユーザーのリストを表示します。
ListRolePrincipalsprojects/<project_name>/authorization/roles/resource/<role_name>管理者ロールが付与されているユーザーのリストを表示します。
ListRolePrincipalsprojects/<project_name>/authorization/roles/administrator/<role_name>Super_Administrator ロールが付与されているユーザーのリストを表示します。
ListRolePrincipalsprojects/<project_name>/authorization/roles/super_administrator/super_administratorユーザーに付与されているロールのリストを表示します。
ListPrincipalRolesprojects/<project_name>/authorization/principals/usersパッケージ管理
パッケージを作成します。
CreatePackageprojects/<project_name>/authorization/packagesパッケージをリスト表示します。
ShowPackagesパッケージを表示します。
DescribePackageprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>パッケージを削除します。
DropPackageパッケージをインストールします。
InstallPackageprojects/<project_name>/authorization/packages/<package_creater_project_name>.<package_name>パッケージをアンインストールします。
UninstallPackage他のプロジェクトがパッケージを使用することを許可します。
AllowInstallPackageprojects/<project_name>/authorization/packages/<package_creator_project_name>.<package_name>他のプロジェクトがパッケージを使用することを禁止します。
DisallowInstallPackageパッケージにリソースを追加します。
AddPackageResourceprojects/<project_name>/authorization/packages/<package_creator_project_name>.<package_name>パッケージからリソースを削除します。
RemovePackageResourceラベル権限の制御
プロジェクト内のリソースにラベル権限を付与します。
GrantLabelprojects/<project_name>/authorization/schemas/*/tables/*説明アスタリスク (*) を使用してすべてのリソースを指定できます。 たとえば、
tables/*を使用して、プロジェクト内のすべてのテーブルを指定できます。プロジェクト内のリソースからラベル権限を取り消します。
RevokeLabelプロジェクト内のリソースのラベル権限を表示します。
ShowLabelGrantsパッケージリソースにラベル権限を付与します。
GrantLabelprojects/<project_name>/authorization/packageresources/<package_creator_project_name>.<package_name>/<resource_relative_id>パッケージ内のリソースからラベル権限を取り消します。
RevokeLabelパッケージ内のリソースのラベル権限を表示します。
ShowLabelGrantsユーザーのラベル権限を表示します。
ShowLabelGrantsprojects/<project_name>/authorization/usersロールのラベル権限を表示します。
ShowLabelGrantsprojects/<project_name>/authorization/roles/resource/<role_name>説明管理者ロールに対してラベル権限を付与、設定、または表示することはできません。
ユーザーまたはロールのデータラベルを設定
ユーザーのデータラベルを設定します。
SetDataLabelprojects/<project_name>/authorization/usersロールのデータラベルを設定します。
SetDataLabelprojects/<project_name>/authorization/roles/resource/<role_name>ACL 権限の制御
プロジェクト内のリソースに ACL 権限を付与します。
GrantPrivsprojects/<project_name>/authorization/<resource_relative_id>説明ACL 権限付与の
actionsを制御できます。ポリシーは、
StringIntersectSetEmpty(IgnoreCase)/StringIntersectSetNotEmpty(IgnoreCase)/StringSubSet(IgnoreCase)/StringNotSubSet(IgnoreCase)などの文字列コレクション操作をサポートします。これらのオペレーターをポリシーで使用して、acs:Privileges条件キーを使用して Actions コレクションに制約を適用できます。たとえば、次のポリシーは、ユーザー
odpsxxxx@aliyun.comがprj1プロジェクト内のすべてのテーブルに対してDownloadまたはSelect権限を付与することを拒否します:{ "Action":[ "odps:GrantPrivs"], "Effect":"Deny", "Principal":"aliyun$odpsxxxx@aliyun.com", "Resource":"acs:odps::projects/prj1/authorization/acl/tables/*", "Condition":{ "IntersectionSetNotNull":{ "acs:Privileges":["Download","Select"] } } }プロジェクトの場合、
resource_relative_idはprojects/<project_name>です。
プロジェクト内のリソースから ACL 権限を取り消します。
RevokePrivsプロジェクト内のリソースの ACL 権限を表示します。
ShowAclGrantsパッケージリソースに ACL 権限を付与します。
GrantPrivsprojects/<project_name>/authorization/packageresources/<package_creater_project_name>.<package_name>/<resource_relative_id>パッケージリソースから ACL 権限を取り消します。
RevokePrivsパッケージリソースの ACL 権限を表示します。
ShowAclGrantsユーザーの ACL 権限を表示します。
ShowAclGrantsprojects/<project_name>/authorization/usersリソースロールの ACL 権限を表示します。
ShowAclGrantsprojects/<project_name>/authorization/roles/resource/<role_name>期限切れの権限のクリア
期限切れの権限をクリアします。
ClearExpiredGrantsprojects/<project_name>/authorization