1、背景介绍
同一个主账号下面的两个工作空间，工作空间名称分别为
A工作空间名称:wei_wwww
A工作空间子账号：mc_oss
B工作空间名称:wei_mc
B工作空间子账号：bigdata_wei
现在B工作空间子账号bigdata_wei需要访问A工作空间子账号mc_oss创建的UDF函数。执行查询语句报错信息如下：

2、MaxCompute项目空间支持的对象类型及操作
MaxCompute提供了ACL授权、跨项目空间数据分享、项目空间数据保护等多种策略。授权操作一般涉及到三个要素，即主体（Subject，可以是用户也可以是角色）、客体（Object）和操作（Action）。在MaxCompute中，主体是指用户或角色，客体是指项目空间中的各种类型对象。我们推荐您优先使用ACL（基于对象）授权，而非Policy（基于策略）授权。
ACL授权中，MaxCompute的客体包括项目空间、表、函数、资源、任务实例
授权方式：

 grant actions on object to subject；

3、授权
（1）在A工作空间创建一个函数
A工作空间名称:wei_wwww
创建角色:

create role worker;

角色指派:

grant worker TO ram$建伟MaxCompute:mc_oss;

对角色授权:

grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT wei_wwww TO  ROLE worker;

子账号：mc_oss创建一个函数udf1225，使用的资源为1225.jar

add jar 1225.jar;
CREATE FUNCTION udf1225 as 'com.aliyun.udf.test.UDF_DEMO' using '1225jar';

（2）在B工作空间授权操作
B工作空间中的子账号想要访问A工作空间中子账号创建的函数udf1225。我们需要B工作空间的子账号bigdata_wei拥有访问A工作空间的函数和资源的权限。所以需要给B工作空间的子账号bigdata_wei授权。
B工作空间名称:wei_mc
B工作空间子账号：bigdata_wei
创建角色:

create role mcrole;

角色指派:

grant mcrole TO ram$建伟MaxCompute:bigdata_wei;

对角色授权:

grant Read  ON Function udf1225 TO ROLE mcrole;
grant Read  ON Resource 1225.jar TO ROLE mcrole;

4、访问函数
切换登陆B工作空间子账号:bigdata_wei去查询A工作空间下面的函数，此时可以正确访问到A工作空间创建的函数和资源。

use wei_mc;
select wei_wwww:udf1225('f');

结果如下图所示：

注意：主账号不能给其他主账号的子账号授权。

欢迎加入“MaxCompute开发者社区2群”,点击链接申请加入或扫描二维码
https://h5.dingtalk.com/invite-page/index.html?bizSource=____source____&corpId=dingb682fb31ec15e09f35c2f4657eb6378f&inviterUid=E3F28CD2308408A8&encodeDeptId=0054DC2B53AFE745

原文链接
本文为云栖社区原创内容，未经允许不得转载。