5.2.2 使用安全

5.2.2.1 安全相关设置

针对MaxCompute项目级别的安全设置，最为关键的是ProjectProtection策略。假设某用户同时有A、B两个项目的权限，通过如下指令即可实现全表数据的项目间转移，风险是极高的。

create table project2.table2 as select * from project1.table1;

默认情况下ProjectProtection是关闭状态，即初始状态的MaxCompute项目对于数据的流出不做限制（这里只表达不做项目级别的限制，实际的每一次访问操作都是需要对用户进行认证和鉴权）。

以上这张大图，基本概括了开启项目级数据保护机制后数据流出情况的全景。

流出策略一：设置exception policy（上图左向）

流出策略二：设置trusted project（上图左下部分）

其它策略：“基于Package跨项目访问资源”将在5.2.2.2.4中提及，package机制和ProjectProtection是相互独立的，但在功能上是相互制约的。Package资源分享优先于数据保护机制。即如果某个对象已通过Package方式为其他项目用户授予访问权限，那么该对象不受数据保护机制的限制。（右下部分）

《企业级云原生白皮书项目实战》——第五章 大数据——5.2 云原生大数据计算服务 MaxCompute——5.2.2 使用安全（2） https://developer.aliyun.com/article/1228575?groupCode=supportservice