由Project Owner或具備Admin角色的用戶為低級別用戶授予訪問高敏感等級數據的權限。
注意事項
顯式授予用戶的表的列Label權限,會覆蓋顯式授予用戶的表的Label權限。
命令格式
grant Label <number> on table <table_name> [(<column_list>)] to {USER|ROLE} <name> [with exp <days>];參數說明
參數名稱 | 是否必填 | 說明 |
number | 是 | 指定用戶或角色可訪問的最高數據敏感等級。 取值范圍為0~9,與數據敏感等級標簽相對應。 |
table_name | 是 | 指定目標表或視圖的名稱。 您可以通過MaxCompute客戶端執行 |
column_list | 否 | 當需要授予目標表或視圖中指定列的訪問權限時,需要配置該參數。單次授權可以指定多個列名,列名之間用英文逗號(,)分隔。 |
name | 是 | 指定用戶或角色的名稱。 您可以通過MaxCompute客戶端執行 |
days | 否 | 指定權限過期時間,單位為天。取值范圍為:0~263-1。不指定該參數時,默認過期時間為180天。 |
使用示例
假設項目test_project_a中存在一張表sale_detail,shop_name、customer_id和total_price為表的列。Bob@aliyun.com是test_project_a的項目所有者。Allen為隸屬于Bob的RAM用戶,已被添加至項目test_project_a中。
為Allen顯式授予訪問高敏感級數據的權限,命令示例如下。
--Bob進入項目test_project_a。
use test_project_a;
--顯式授權Allen訪問sale_detail表中敏感度不超過3級的數據,授權有效期為4天。
grant Label 3 on table sale_detail to USER RAM$Bob@aliyun.com:Allen with exp 4;
--查看Allen的顯式授權結果。
show label grants on table sale_detail for USER RAM$Bob@aliyun.com:Allen;
--返回結果如下。
User Label: 1
+-------------+--------------+--------------------------+
| Column | GrantedLabel | Expires |
+-------------+--------------+--------------------------+
| total_price | 3 | 2021-12-31T19:56:18+0800 |
+-------------+--------------+--------------------------+
--顯式授權Allen訪問sale_detail表的shop_name、customer_id和total_price列中敏感度不超過3級的數據,授權有效期為10天。
grant Label 3 on table sale_detail(shop_name, customer_id, total_price) to USER RAM$Bob@aliyun.com:Allen with exp 10;
--查看Allen的顯式授權結果。
show label grants on table sale_detail for USER RAM$Bob@aliyun.com:Allen;
--返回結果如下。
User Label: 1
+-------------+--------------+--------------------------+
| Column | GrantedLabel | Expires |
+-------------+--------------+--------------------------+
| customer_id | 3 | 2022-01-06T19:58:00+0800 |
+-------------+--------------+--------------------------+
| shop_name | 3 | 2022-01-06T19:58:00+0800 |
+-------------+--------------+--------------------------+
| total_price | 3 | 2022-01-06T19:58:00+0800 |
+-------------+--------------+--------------------------+相關命令
SET LABEL:為表或列數據設置敏感等級標簽。
REVOKE:由Project Owner或具備Admin角色的用戶撤銷Label顯式授權。
CLEAR EXPIRED GRANTS:清理過期Label顯式授權權限。
文檔內容是否對您有幫助?