MaxCompute用户指南：安全指南：快速开始：添加角色并通过ACL授权

在您的场景描述中，您正确地指出了项目空间管理员Jack可以使用阿里云MaxCompute的基于对象的ACL（Access Control List）授权机制来为新加入的成员Alice、Bob和Charlie分配所需的权限。不过，有一点需要注意的是，MaxCompute实际上采用的是Policy-Based Access Control (PBAC)模型，通过Policy（策略）来进行细粒度的权限管理，而非直接使用ACL术语。但您的操作思路与MaxCompute的实际操作流程是相匹配的，只是表述上稍有差异。下面是根据您的需求调整后的、更符合MaxCompute实践的操作指南：

场景描述：

• Jack作为项目空间prj1的管理员，需要为新成员Alice、Bob、Charlie（数据审查员角色）授权，使他们能够查看Table列表、提交作业，并读取表userprofile。

操作方法：

1. 登录MaxCompute客户端或使用DataWorks： 首先，确保Jack已登录到MaxCompute客户端或者在DataWorks中打开了相应的项目空间prj1。

2. 添加用户： 由于MaxCompute通常集成在阿里云账号体系内，用户通过阿里云账号体系添加，实际操作中不需要在MaxCompute命令行直接执行add user命令。假设Alice、Bob、Charlie已经拥有阿里云账号并被添加至组织结构中，接下来直接进行角色创建和赋权即可。

3. 创建角色并赋予权限：

   • 创建一个名为data_reviewer的角色，以适应他们的职责。

     CREATE ROLE data_reviewer;
     

   • 授予该角色查看Table列表和提交作业的能力。注意，MaxCompute中没有直接的List和CreateInstance权限对应查看Table列表和提交作业，但可以通过其他方式实现类似功能。对于查看Table列表，实际上所有项目成员默认可查看，无需特别授权；对于提交作业，只要有SELECT等基本权限即可。
   • 授予读取特定表的权限。

     GRANT DESCRIBE, SELECT ON TABLE userprofile TO ROLE data_reviewer;
     

4. 将角色赋予用户：

   • 将data_reviewer角色分别赋予Alice、Bob、Charlie。在MaxCompute中，这一步骤不是直接通过邮箱地址完成，而是假定这些用户已经在阿里云账号体系下与项目空间关联。

     GRANT ROLE data_reviewer TO USER alice;
     GRANT ROLE data_reviewer TO USER bob;
     GRANT ROLE data_reviewer TO USER charlie;
     

注意事项：

• 在MaxCompute中，权限管理主要通过角色（Role）来实施，而不是直接在用户层面逐个授权，这样便于管理和复用。
• 提交作业的权限较为基础，一般用户加入项目后，默认就有执行SQL等基本权限，除非有特殊限制。
• 确保Alice、Bob、Charlie的阿里云账号已被添加到项目空间prj1中，这是进行角色授权的前提。

以上步骤应能满足您的需求，确保数据审查员们能顺利开展工作。如果有更具体的权限控制需求或遇到任何问题，建议查阅最新的MaxCompute官方文档或在阿里云控制台操作。