MaxCompute中的数据访问控制机制是什么？

Ÿ 权限检查顺序 MaxCompute 的权限检查顺序如下：LabelSecurity Label 检查--> plicy （DENY 直接返回）policy 检查--> ACL（绑定 role）ACL 检查，role 和用 户权限叠加-->package 跨 project 的权限检查。我们也按照这个顺序讲 一下 MaxCompute 的权限相关的功能。

Ÿ 授权方式 授权需要三部分内容，主体（被授权人），客体（MaxCompute 项目中的 对象或行为），操作（与客体类型有关）。授权时，需要把用户加入项目 内，再分配一个或多个角色，这样就会继承角色内所有的权限。 o 授权的内容包括：表（可以按字段授权）、函数、资源。 o 有 3 种访问控制方式：ACL（Access Control List）、Policy、Label。 o 授权对象：单个用户、角色。 Ÿ

应用场景描述 当租户 Owner 决定对另一个用户 B 授权时，首先将该用户 B 添加到自己 的租户中来。只有添加到租户中的用户才能够被授权。用户 B 加入租户之 后，可以被分配到一个或多个角色（也可以不分配任何角色），那么该用 户 B 将自动继承所有这些角色所拥有的各种权限。当一个用户离开此项目 团队时，租户 Owner 需要将该用户从租户中移除。用户一旦从租户中被移 除，该用户将不再拥有任何访问此租户资源的权限。Ÿ 权限检查顺序 MaxCompute 的权限检查顺序如下：LabelSecurity Label 检查--> plicy （DENY 直接返回）policy 检查--> ACL（绑定 role）ACL 检查，role 和用 户权限叠加-->package 跨 project 的权限检查。我们也按照这个顺序讲 一下 MaxCompute 的权限相关的功能。

Ÿ 授权方式 授权需要三部分内容，主体（被授权人），客体（MaxCompute 项目中的 对象或行为），操作（与客体类型有关）。授权时，需要把用户加入项目 内，再分配一个或多个角色，这样就会继承角色内所有的权限。 o 授权的内容包括：表（可以按字段授权）、函数、资源。 o 有 3 种访问控制方式：ACL（Access Control List）、Policy、Label。 o 授权对象：单个用户、角色。 Ÿ

应用场景描述 当租户 Owner 决定对另一个用户 B 授权时，首先将该用户 B 添加到自己 的租户中来。只有添加到租户中的用户才能够被授权。用户 B 加入租户之 后，可以被分配到一个或多个角色（也可以不分配任何角色），那么该用 户 B 将自动继承所有这些角色所拥有的各种权限。当一个用户离开此项目 团队时，租户 Owner 需要将该用户从租户中移除。用户一旦从租户中被移 除，该用户将不再拥有任何访问此租户资源的权限。Ÿ ACL（Access Control Lists）授权 ACL 权限控制为白名单授权机制，即允许用户或角色对指定对象执行指定 操作。ACL 权限控制方式简单明了，可实现精准授权。

o 主体：被授权人，必须存在于 project 中。 ü 授权人为执行授权操作的用户。授权人需要具备为目标客体和 目标操作授权的权限，才可以执行授权操作。

ü 使用阿里云账号执行授权操作时，支持为当前账号下的 RAM 用 户和其他阿里云账号授权。

ü 使用 RAM 用户账号执行授权操作时，仅支持为隶属同一个阿里 云账号的其他 RAM 用户授权，不支持为其他账号授权。

o 客体：对象：项目、表/视图、字段、函数、资源、实例、Package。 o 角色（role）是一组权限的集合。

o 对象删除时，所有相关的 ACL 也被删除。

以上内容摘自《阿里云云原生一体化数仓新能力解读》电子书，点击https://developer.aliyun.com/ebook/download/7725 可下载完整版