MaxCompute准备工作：添加 RAM 子账号

目前，MaxCompute 支持阿里云账号和 RAM 账号两种账号体系，本文主要介绍如何添加 RAM 子账号。添加 RAM 子账号有以下两种方式：

• 
  通过大数据开发套件进行操作，详情请参见：如何添加成员及授权；
• 
  通过 MaxCompute 客户端常用命令进行操作，详情如下：

注意： MaxCompute 只能够识别 RAM 的账号体系，不能识别 RAM的权限体系。即用户可以将自身的任意 RAM 子账号加入 MaxCompute 的某一个项目中，但 MaxCompute 在对该 RAM子账号做权限验证时，并不会考虑 RAM 中的权限定义。

默认情况下，MaxCompute 项目只能够识别阿里云账号系统，用户可以通过list accountproviders;命令查看该项目所支持的账号系统，通常情况下仅会看到 ALIYUN 账号，例如：

1. odps@ ****>list accountproviders;
2. ALIYUN

注意：只有项目空间的owner有权限进行accountproviders的相关操作。
由上可见，只能看到ALIYUN账号体系，如果想添加对 RAM 账号的支持，可以执行add accountprovider ram;如下所示：

1. odps@ odps_pd_inter>add accountprovider ram;
2. OK

通过list accountproviders;来查看账号支持情况，如下所示：

1. odps@ ****>list accountproviders;
2. ALIYUN, RAM

由上可见，这个项目空间已经能够支持RAM账号体系，即可以向这个项目空间添加 RAM 子账号并授予某张表的Describe权限，如下所示：

1. odps@ ****>add user ram$bob@aliyun.com:Alice;
2. OK: DisplayName=RAM$bob@aliyun.com:Alice
3. odps@ ****>grant Describe on table src to user ram$bob@aliyun.com:Alice;
4. OK

此时， bob@aliyun.com的 RAM 子账号Alice就可以通过自己的AccessKeyID及AccessKeySecret登录 MaxCompute 并对表src进行desc操作。

备注：

• 获取 RAM 子账号AccessKeyID及AccessKeySecret的相关操作请参见： RAM 介绍；
• 更多 MaxCompute 添加/删除用户的操作请参见： 安全介绍之用户管理；
• 更多有关授权的操作请参见： 安全介绍之授权操作。

同样，您也可以通过remove user命令删除自身的 RAM 子账号。示例如下：

1. odps@ ****>revoke describe on table src from user ram$bob@aliyun.com:Alice;
2. OK
3. -- 回收子账号 Alice 权限
5. odps@ ****>remove user ram$bob@aliyun.com:Alice;
6. Confirm to "remove user ram$bob@aliyun.com:Alice;" (yes/no)? yes
7. OK
8. -- 删除子账号

如果您是项目空间的 owner，也可以通过remove accountprovidr将 RAM 账号系统从当前项目中删除，如下所示：

1. odps@ ****>remove accountprovider ram;
2. Confirm to "remove accountprovider ram;" (yes/no)? yes
3. OK
5. odps@ ****>list accountproviders;
6. ALIYUN