一、操作場景

I 自有數倉數據啟動

1. 登錄阿里云圖計算服務控制臺。

2. 在創建數據表時如果選擇配置MaxCompute（原ODPS）數據源，需要在MaxCompute中給openias賬號授權可讀權限。

二、MaxCompute授權流程

1. 下載和配置使用客戶端（odpscmd）連接 。

2. 通過運行./bin/odpscmd進入MaxCompute環境。

3. 給賬號【ALIYUN$openias】授權。

   Tips：

   1. ALIYUN$openias 為iGraph引擎BS離線系統的MC賬號，該BS離線系統承擔MC數據索引構建的功能。

   2. 海外區域如新加坡需要額外配置，可聯系技術支持解決。

4. iGraph引擎的離線系統需要的權限列表：

其他操作：見MaxCompute權限文檔.

I 添加角色

// 添加 openias賬號權限
add user `ALIYUN$openias`; 
// 通過list users;確認是否已經添加成功
list users;

II 授權可讀權限

// 授權
// [project] 替換為您的真實project
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant Describe ON TABLE [table] to user `ALIYUN$openias`;
grant Select ON TABLE [table] to user `ALIYUN$openias`;

III 授權可寫權限

// 授權
// [project] 替換為您的真實project
// [user] 替換為上邊添加的user
// [table] 替換為您真實的table
grant Read ON PROJECT [project] to user `ALIYUN$openias`;
grant List ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateTable ON PROJECT [project] to user `ALIYUN$openias`;
grant CreateInstance ON PROJECT [project] to user `ALIYUN$openias`;

IV 敏感字段單獨授權

# 顯式授權訪問t1中敏感度不超過2級的數據
$ GRANT LABEL 2 ON TABLE t1 TO USER `ALIYUN$openias`;

# 顯式授權訪問t1(col1, col2)中敏感度不超過3級的數據
$ GRANT LABEL 3 ON TABLE t1(col1, col2) TO USER `ALIYUN$openias`;

# 對整個項目空間都進行敏感字段的授權
$ set label 4 to user `ALIYUN$openias`;