**1、背景介绍**
同一个主账号下面的两个工作空间,工作空间名称分别为
A工作空间名称:wei\_wwww
A工作空间子账号:mc\_oss
B工作空间名称:wei\_mc
B工作空间子账号:bigdata\_wei
现在B工作空间子账号bigdata\_wei需要访问A工作空间子账号mc\_oss创建的UDF函数。执行查询语句报错信息如下:

**2、MaxCompute项目空间支持的对象类型及操作**
MaxCompute提供了ACL授权、跨项目空间数据分享、项目空间数据保护等多种策略。授权操作一般涉及到三个要素,即主体(Subject,可以是用户也可以是角色)、客体(Object)和操作(Action)。在MaxCompute中,主体是指用户或角色,客体是指项目空间中的各种类型对象。我们推荐您优先使用ACL(基于对象)授权,而非Policy(基于策略)授权。
ACL授权中,MaxCompute的客体包括项目空间、表、函数、资源、任务实例
**授权方式:**
```
grant actions on object to subject;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Jc8yFW4V-1577951993715)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-71KvFoeA-1577951993715)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
[外链图片转存中...(img-EvssjG3I-1577951993715)]

**3、授权**
**(1)在A工作空间创建一个函数**
A工作空间名称:wei\_wwww
**创建角色:**
```
create role worker;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kZgUpbJy-1577951993717)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yshGURyF-1577951993717)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**角色指派:**
```
grant worker TO ram$建伟MaxCompute:mc_oss;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SkZ2uceB-1577951993717)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hwvltZMv-1577951993717)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**对角色授权:**
```
grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT wei_wwww TO ROLE worker;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bcHhL3vs-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z86E8qYg-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
子账号:mc\_oss创建一个函数udf1225,使用的资源为1225.jar
```
add jar 1225.jar;
CREATE FUNCTION udf1225 as 'com.aliyun.udf.test.UDF_DEMO' using '1225jar';
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P2gSenx2-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-b483XcQn-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**(2)在B工作空间授权操作**
B工作空间中的子账号想要访问A工作空间中子账号创建的函数udf1225。我们需要B工作空间的子账号bigdata\_wei拥有访问A工作空间的函数和资源的权限。所以需要给B工作空间的子账号bigdata\_wei授权。
B工作空间名称:wei\_mc
B工作空间子账号:bigdata\_wei
**创建角色:**
```
create role mcrole;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xJFDOuAI-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3r0bamqD-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**角色指派:**
```
grant mcrole TO ram$建伟MaxCompute:bigdata_wei;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x3npIEVp-1577951993718)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZkdW0bw6-1577951993719)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**对角色授权:**
```
grant Read ON Function udf1225 TO ROLE mcrole;
grant Read ON Resource 1225.jar TO ROLE mcrole;
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C0pjojy6-1577951993720)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y3zpipqw-1577951993720)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
**4、访问函数**
切换登陆B工作空间子账号:bigdata\_wei去查询A工作空间下面的函数,此时可以正确访问到A工作空间创建的函数和资源。
```
use wei_mc;
select wei_wwww:udf1225('f');
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HnVZmnIl-1577951993721)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DmPBvcPj-1577951993721)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== "点击并拖拽以移动")]
结果如下图所示:

**注意:**主账号不能给其他主账号的子账号授权。
[原文链接](https://link.zhihu.com/?target=https%3A//yq.aliyun.com/articles/739645%3Futm_content%3Dg_1000094672)
本文为阿里云内容,未经允许不得转载。
分享到:
相关推荐
项目空间Owner可以将其他用户加入MaxCompute项目空间中,并授予相对应权限,以便这些用户可以操作MaxCompute中的数据、作业、资源及函数。 七、MaxCompute的各项功能 MaxCompute提供了多种功能,包括数据处理、...
通过安全授权,用户可以在一个项目空间内访问其他项目空间的对象,如表、资源、函数和实例。`Use Project`命令允许用户切换到指定的项目空间进行操作,这在ODPS客户端中实现。 表是MaxCompute的数据存储单元,与...
一个用户可以拥有多个项目空间的权限,并通过安全授权访问不同项目空间中的对象,如表、资源、函数和实例。`Use Project`命令允许用户进入特定的项目空间,以便操作其中的对象。 表是MaxCompute的数据存储单元,...
MaxCompute console是用户操作和管理MaxCompute资源的一个可视化界面,能够管理项目空间、表/视图/分区、资源/函数等对象。尽管文档主要介绍的是命令行工具odpscmd,但MaxCompute console也是不可或缺的组成部分。 ...
MaxCompute提供SQL接口及UDF(用户自定义函数)功能,使得众安保险可以进行复杂的数据挖掘和建模工作,如预测模型的建立、欺诈检测等,增强了公司的业务智能化水平。 此外,MaxCompute还具有高扩展性和稳定性。随着...
3. **SQL支持**:提供标准SQL支持,方便数据查询和分析,同时支持UDF(用户自定义函数),增强功能扩展性。 4. **数据生命周期管理**:自动管理数据生命周期,根据策略自动删除过期数据,节省存储空间。 5. **权限...
MaxCompute为确保不同用户和项目之间的数据隔离和安全性,采用了多租户设计。这种设计包含以下几个核心要素: 1. 存储隔离:每个租户拥有独立的存储空间,数据互不可见,保证了数据安全。 2. 计算资源隔离:通过...
通过安全授权,可以在一个项目空间中访问另一个项目空间中的对象,例如:表(Table),资源(Resource),函数(Function),实例(Instance)。用户可以通过Use Project命令进入一个项目空间,例如:use my_project--进入一...