MaxCompute用户指南：安全指南：用户及授权管理：用户管理

当项目空间的Owner Alice决定对另一个用户授权时，Alice需要先将该用户添加到自己的项目空间中来。只有添加到项目空间中的用户才能够被授权。
添加用户的命令如下：

1.     add user <username> --在项目空间中添加用户

说明：

• 云账号的<username>即可以是在www.aliyun.com上注册过的有效邮箱地址，也可以是执行此命令的云账号的某个RAM子账号，例如：

1. add user ALIYUN$odps_test_user@aliyun.com;
2. add user RAM$ram_test_user;

假设Alice的云账号为” alice@aliyun.com”，那么当Alice执行上述两条语句后，通过”list users;”命令可以看到如下结果：

1. RAM$alice@aliyun.com:ram_test_user
2. ALIYUN$odps_test_user@aliyun.com

这表明云账号” odps_test_user@aliyun.com”以及Alice通过RAM创建的子账号”ram_test_user”已经被加入到了该项目空间中。
当一个用户离开此项目团队时，Alice需要将该用户从项目空间中移除。用户一旦从项目空间中被移除，该用户将不再拥有任何访问项目空间资源的权限。移除用户的命令如下：

1.     remove user <username> --在项目空间中移除用户

备注:

• 当一个用户被移除后，该用户不再拥有访问该项目空间资源的任何权限。
• 移除一个用户之前，如果该用户已被赋予某些角色，则需要先撤销该用户的所有角色。关于角色的介绍请参考 项目空间的角色管理 。
• 当一个用户被移除后，与该用户有关的 ACL授权 仍然会被保留。一旦该用户以后被再添加到该项目空间时，该用户的历史的 ACL授权 访问权限将被重新激活。
• MaxCompute目前不支持在项目空间中彻底移除一个用户及其所有权限数据。

Alice执行下述两条命令后：

1. remove user ALIYUN$odps_test_user@aliyun.com;
2. remove user RAM$ram_test_user;

再通过”listusers;”命令，将不会看到这两个账号。此时，表明这两个账号已经被移出项目空间。需要特殊说明的是，MaxCompute只允许主账号将自身的RAM子账号加入到项目空间中，不允许加入其它云账号的RAM子账号，因此在”adduser”时，无需再RAM子账号前指定主账号名称，MaxCompute默认判定命令的执行者即是子账号对应的主账号。