如何跨项目工作空间访问MaxCompute资源和函数？

1、背景介绍

同一个主账号下面的两个工作空间，工作空间名称分别为

A工作空间名称:wei_wwww

A工作空间子账号：mc_oss

B工作空间名称:wei_mc

B工作空间子账号：bigdata_wei

现在B工作空间子账号bigdata_wei需要访问A工作空间子账号mc_oss创建的UDF函数。执行查询语句报错信息如下：

2、MaxCompute项目空间支持的对象类型及操作

MaxCompute提供了ACL授权、跨项目空间数据分享、项目空间数据保护等多种策略。授权操作一般涉及到三个要素，即主体（Subject，可以是用户也可以是角色）、客体（Object）和操作（Action）。在MaxCompute中，主体是指用户或角色，客体是指项目空间中的各种类型对象。我们推荐您优先使用ACL（基于对象）授权，而非Policy（基于策略）授权。

ACL授权中，MaxCompute的客体包括项目空间、表、函数、资源、任务实例

授权方式：

grant actions on object to subject；

3、授权

（1）在A工作空间创建一个函数

A工作空间名称:wei_wwww

创建角色:

create role worker;

角色指派:

grant worker TO ram$建伟MaxCompute:mc_oss;

对角色授权:

grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT wei_wwww TO  ROLE worker;

子账号：mc_oss创建一个函数udf1225，使用的资源为1225.jar

add jar 1225.jar;

CREATE FUNCTION udf1225 as 'com.aliyun.udf.test.UDF_DEMO' using '1225jar';

（2）在B工作空间授权操作

B工作空间中的子账号想要访问A工作空间中子账号创建的函数udf1225。我们需要B工作空间的子账号bigdata_wei拥有访问A工作空间的函数和资源的权限。所以需要给B工作空间的子账号bigdata_wei授权。

B工作空间名称:wei_mc

B工作空间子账号：bigdata_wei

创建角色:

create role mcrole;

角色指派:

grant mcrole TO ram$建伟MaxCompute:bigdata_wei;

对角色授权:

grant Read  ON Function udf1225 TO ROLE mcrole;

grant Read  ON Resource 1225.jar TO ROLE mcrole;

4、访问函数

切换登陆B工作空间子账号:bigdata_wei去查询A工作空间下面的函数，此时可以正确访问到A工作空间创建的函数和资源。

use wei_mc;

select wei_wwww:udf1225('f');

结果如下图所示：

注意：主账号不能给其他主账号的子账号授权。