场景: 一个企业使用多款阿里云产品,MaxCompute是其中一个产品,用的是同个主账号,主账号不是由使用MaxCompute的大资料同学管理, 大资料同学使用的是子账号。大资料同学日常需要给MaxCompute专案 操作新增子账号(add user),新的子账号授权(grant xx on project/table)等操作,即日常许可权管理。
背景知识:
MaxCompute专案许可权管理预设只有owner可以操作,而MaxCompute专案的owner只能是主账号。子账号开通MaxCompute并建立专案,专案的owner依然是对应的主账号。DataWorks中,子账号拥有专案空间的“专案管理员”或“安全管理员”角色,都只是拥有对应DataWorks的操作许可权,并不能操作MaxCompute 专案的许可权管理。具体可参考《DataWorks角色许可权和MaxCompute 角色许可权关系》。https://help.aliyun.com/document_detail/105012.html
解决方案:
指定一个子账号作为大资料MaxCompute的许可权管理账号,让主账号给该子账号授admin role
--如主账号是[email protected],作为日常许可权管理的子账号是Allen
grant admin TO [email protected]:Allen;
注意admin可以满足常用的一些日常许可权管理,但并不能代替owner做所有管理,此时还是必须要owner才能进行操作。
作者:海清
