阿里大數(shù)據(jù)計(jì)算服務(wù)MaxCompute-安全指南

1、大數(shù)據(jù)計(jì)算服務(wù)MaxCompute安全指南大數(shù)據(jù)計(jì)算服務(wù)MaxCompute/安全指南 PAGE 12安全指南本文檔主要面向 MaxCompute 項(xiàng)目空間所有者(Owner)、管理員以及對(duì) MaxCompute 多租戶數(shù)據(jù)安全體系感興趣的用戶。MaxCompute 多租戶數(shù)據(jù)安全體系主要包括如下內(nèi)容：用戶認(rèn)證、項(xiàng)目空間的用戶與授權(quán)管理、跨項(xiàng)目空間的資源分享以及項(xiàng)目空間的數(shù)據(jù)保護(hù)?？焖匍_(kāi)始場(chǎng)景描述：Jack是項(xiàng)目空間prj1的管理員，一個(gè)新加入的項(xiàng)目組成員Alice(已擁有云賬號(hào): alice)申請(qǐng)加入項(xiàng)目空間prj1， 并申請(qǐng)如下權(quán)限：查看Table列表，提交作業(yè)，創(chuàng)建表。use prj1;

2、add user aliyun$alice; -添加用戶grant List, CreateTable, CreateInstance on project prj1 to user aliyun$alice; -使用grant語(yǔ)句對(duì)用戶授權(quán)操作步驟：(由項(xiàng)目空間管理員來(lái)操作)場(chǎng)景描述：Jack是項(xiàng)目空間prj1的管理員，有三個(gè)新加入的項(xiàng)目組成員：Alice, Bob, Charlie，他們的角色是數(shù)據(jù)審查員。 他們要申請(qǐng)如下權(quán)限：查看Table列表，提交作業(yè)，讀取表userprofile。use prj1;add user aliyun$alice; -添加用戶add user aliyun

3、$bob;add user aliyun$charlie; create role tableviewer; -創(chuàng)建角色grant List, CreateInstance on project prj1 to role tableviewer; -對(duì)角色賦權(quán)grant Describe, Select on table userprofile to role tableviewer;grant tableviewer to aliyun$alice; -對(duì)用戶賦予角色tableviewer grant tableviewer to aliyun$bob;grant tableviewer t

4、o aliyun$charlie;對(duì)于這個(gè)場(chǎng)景的授權(quán)，項(xiàng)目空間管理員可以使用基于對(duì)象的 ACL授權(quán) 機(jī)制來(lái)完成。操作方法：項(xiàng)目空間的數(shù)據(jù)保護(hù)設(shè)置場(chǎng)景描述：Jack是項(xiàng)目空間prj1的管理員。該項(xiàng)目空間有很多敏感數(shù)據(jù)，比如用戶身份號(hào)碼和購(gòu)物記錄。而且 還有很多具有自主知識(shí)產(chǎn)權(quán)的數(shù)據(jù)挖掘算法。Jack希望能將項(xiàng)目空間中的這些敏感數(shù)據(jù)和算法保護(hù)好，項(xiàng)目中 用戶只能在項(xiàng)目空間中訪問(wèn)，數(shù)據(jù)只能在項(xiàng)目空間內(nèi)流動(dòng)，不允許流出到項(xiàng)目空間之外。use prj1;set ProjectProtection=true; -開(kāi)啟項(xiàng)目空間的數(shù)據(jù)保護(hù)機(jī)制操作方法：Jack需要如下操作：一旦當(dāng)項(xiàng)目空間開(kāi)啟 項(xiàng)目空間的數(shù)據(jù)保

5、護(hù) 機(jī)制后，無(wú)法將項(xiàng)目空間中的數(shù)據(jù)轉(zhuǎn)移到項(xiàng)目空間之外，所有的數(shù)據(jù)只能在項(xiàng)目空間內(nèi)部流動(dòng)。但是在某些情況下，可能由于業(yè)務(wù)需要，用戶Alice需要將某些數(shù)據(jù)表導(dǎo)出到項(xiàng)目空間之外，并且也經(jīng)過(guò)空間管 理員的審核通過(guò)。針對(duì)這類(lèi)情況，ODPS提供了兩種機(jī)制來(lái)支持受保護(hù)項(xiàng)目空間的數(shù)據(jù)流出。方法1: 設(shè)置ExceptionPolicy。詳情請(qǐng)參考 設(shè)置ExceptionPolicy 。Version: 1, Statement: Effect:Allow, HYPERLINK mailto:ALIYUN%24alice Principal:ALIYUN$alice, Action:odps:Describe,

6、odps:Select, Resource:acs:odps:*:projects/prj1/tables/t1, Condition:StringEquals: odps:TaskType:SQLStep 1: 創(chuàng)建Policy文件。 比如創(chuàng)建一個(gè)/tmp/exception_policy.txt，它只允許Alice使用SQL任務(wù)將表t1從項(xiàng)目空間prj1導(dǎo)出。policy內(nèi)容如下：Step 2: 設(shè)置exception policyuse prj1;-開(kāi)啟項(xiàng)目空間的數(shù)據(jù)保護(hù)機(jī)制，并設(shè)置數(shù)據(jù)導(dǎo)出的例外set ProjectProtection=true with exception /tmp

7、/exception_policy.txt;use prj1;方法2: 設(shè)置TrustedProject。將prj2設(shè)置為prj1的可信項(xiàng)目空間，設(shè)置后將允許prj1中的所有數(shù)據(jù)流出到prj2。詳情請(qǐng)參考 設(shè)置TrustedProject 。add trustedproject prj2;注意：- 基于Package的資源打包分享機(jī)制和項(xiàng)目空間的數(shù)據(jù)保護(hù)機(jī)制是正交的兩種安全機(jī)制。MaxCompute 規(guī)定：資源分享?yè)碛懈叩膬?yōu)先級(jí)。這就是說(shuō)，在一個(gè)受保護(hù)的項(xiàng)目空間中，如果一個(gè)對(duì)象是通過(guò)Package機(jī)制分享給其它項(xiàng)目空間，那么跨項(xiàng)目空間訪問(wèn)該對(duì)象時(shí)將不受ProjectProtection規(guī)則的

8、限制。目前，ODPS支持兩種賬號(hào)體系：云賬號(hào)體系；RAM賬號(hào)體系；注意： 需要特別指明的是，ODPS只能夠識(shí)別RAM的賬號(hào)體系，不能識(shí)別RAM的權(quán)限體系。即用戶可以將自身的任意RAM子賬號(hào)加入ODPS的某一個(gè)項(xiàng)目中，但ODPS在對(duì)該RAM子賬號(hào)做權(quán)限驗(yàn)證時(shí)，并不會(huì) 考慮RAM中的權(quán)限定義。list accountproviders;但在默認(rèn)情況下，ODPS項(xiàng)目只能夠識(shí)別阿里云賬號(hào)系統(tǒng)，用戶可以通過(guò)：查看該項(xiàng)目所支持的賬號(hào)系統(tǒng)，通常情況下僅會(huì)看到ALIYUN賬號(hào)。如果想添加對(duì)RAM賬號(hào)的支持，可以執(zhí)行add accountprovider ram;：添加成功后，可以再次通過(guò)list accoun

9、tproviders;查看所支持的賬號(hào)系統(tǒng)是否有所變化。申請(qǐng)?jiān)瀑~號(hào)如果您還沒(méi)有云賬號(hào)，請(qǐng)?jiān)L問(wèn) HYPERLINK / 以申請(qǐng)一個(gè)屬于您的云賬號(hào)。申請(qǐng)?jiān)瀑~號(hào)時(shí)需要一 HYPERLINK mailto:Alice可以使用她的alice郵箱來(lái) 個(gè)有效的電子郵箱地址，而且此郵箱地址將被當(dāng)作云賬號(hào)。比如，Alice可以使用她的alice郵箱來(lái) HYPERLINK mailto:那么她的云賬號(hào)就是alice 注冊(cè)一個(gè)云賬號(hào)，那么她的云賬號(hào)就是alice。申請(qǐng)AccessKey擁有云賬號(hào)之后，可以登錄訪問(wèn) HYPERLINK /access_key /access_key 以創(chuàng)建或管理當(dāng)前云賬號(hào)的Acces

10、sKey列表。一個(gè)AccessKey由兩部分組成：AccessKeyId和AccessKeySecret。AccessKeyId用于檢索AccessKey，而AccessKeySecret用于計(jì)算消息簽名，所以需要嚴(yán)格保護(hù)以防泄露。當(dāng)一個(gè)AccessKey需要更新時(shí)，用戶可以創(chuàng)建一個(gè)新的AccessKey，然后禁用老的AccessKey。使用云賬號(hào)登錄ODPSproject_name=myproject access_id= access_key= HYPERLINK /api end_point=/api當(dāng)使用odpscmd登錄時(shí)，需要在配置文件 conf/odps_config.ini 中

11、配置AccessKey相關(guān)信息，比如：注意:- 在阿里云網(wǎng)站上禁用或解禁一個(gè)AccessKey時(shí)，目前需要15分鐘后才能完全生效。用戶及授權(quán)管理項(xiàng)目空間(Project)是ODPS實(shí)現(xiàn)多租戶體系的基礎(chǔ)，是用戶管理數(shù)據(jù)和計(jì)算的基本單位，也是計(jì)量和計(jì)費(fèi)的主 體。當(dāng)用戶申請(qǐng)創(chuàng)建一個(gè)項(xiàng)目空間之后， 該用戶就是這個(gè)空間的所有者(Owner)。也就是說(shuō)，這個(gè)項(xiàng)目空間內(nèi)的所有對(duì)象(eg, 表, 實(shí)例, 資源，UDF等)都屬于該用戶。這就是說(shuō)，除了Owner之外， 任何人都無(wú)權(quán)訪問(wèn)此項(xiàng)目空間內(nèi)的對(duì)象，除非有Owner的授權(quán)許可。本節(jié)主要介紹項(xiàng)目空間的用戶、角色及授權(quán)管理。它主要適用于如下場(chǎng)景：假設(shè)用戶Alic

12、e是項(xiàng)目空間test_project的Owner， 如果有其他人需要申請(qǐng)?jiān)L問(wèn)項(xiàng)目空間test_project的資源，并且這個(gè)申請(qǐng)人是屬于Alice的項(xiàng)目團(tuán)隊(duì)。那么可以采用本節(jié)介紹的方法來(lái)進(jìn)行用戶和授權(quán)管理。 如果申請(qǐng)人不屬于Alice的項(xiàng)目團(tuán)隊(duì)，那么建議使用跨項(xiàng)目空間的資源分享功能，詳情請(qǐng)參考 跨項(xiàng)目空間的資源分享 。當(dāng)項(xiàng)目空間的Owner Alice決定對(duì)另一個(gè)用戶授權(quán)時(shí)，Alice需要先將該用戶添加到自己的項(xiàng)目空間中來(lái)。只有添加到項(xiàng)目空間中的用戶才能夠被授權(quán)。add user -在項(xiàng)目空間中添加用戶添加用戶的命令如下：說(shuō)明：- HYPERLINK 上注冊(cè)過(guò)的有效郵箱地址/ 云賬號(hào)的即可以是

13、在上注冊(cè)過(guò)的有效郵箱地址，也可以是執(zhí)行此命令的云賬號(hào)的某個(gè)RAM子賬號(hào)，例如：add user ALIYUN$odps_test_user; add user RAM$ram_test_user;RAM$alice:ram_test_user HYPERLINK mailto:ALIYUN%24odps_test_user ALIYUN$odps_test_user HYPERLINK mailto:alice 假設(shè)Alice的云賬號(hào)為alice，那么當(dāng)Alice執(zhí)行上述兩條語(yǔ)句后，通過(guò)list users;命令可以看到如下結(jié)果： HYPERLINK mailto:odps_test_user

14、 這表明云賬號(hào)odps_test_user以及Alice通過(guò)RAM創(chuàng)建的子賬號(hào)test1已經(jīng)被加入到了該項(xiàng)目 空間中。remove user -在項(xiàng)目空間中移除用戶當(dāng)一個(gè)用戶離開(kāi)此項(xiàng)目團(tuán)隊(duì)時(shí)，Alice需要將該用戶從項(xiàng)目空間中移除。用戶一旦從項(xiàng)目空間中被移除，該用戶 將不再擁有任何訪問(wèn)項(xiàng)目空間資源的權(quán)限。 移除用戶的命令如下：備注:當(dāng)一個(gè)用戶被移除后，該用戶不再擁有訪問(wèn)該項(xiàng)目空間資源的任何權(quán)限。移除一個(gè)用戶之前，如果該用戶已被賦予某些角色，則需要先撤銷(xiāo)該用戶的所有角色。關(guān)于角色 的介紹請(qǐng)參考 項(xiàng)目空間的角色管理 。當(dāng)一個(gè)用戶被移除后，與該用戶有關(guān)的 ACL授權(quán) 仍然會(huì)被保留。一旦該用戶以后被再

15、添加到該項(xiàng)目空間時(shí)， 該用戶的歷史的 ACL授權(quán) 訪問(wèn)權(quán)限將被重新激活。ODPS目前不支持在項(xiàng)目空間中徹底移除一個(gè)用戶及其所有權(quán)限數(shù)據(jù)。remove user ALIYUN$odps_test_user; remove user RAM$ram_test_user;Alice執(zhí)行下述兩條命令后：再通過(guò)list users;命令，將不會(huì)看到這兩個(gè)賬號(hào)。此時(shí)，表明這兩個(gè)賬號(hào)已經(jīng)被移出項(xiàng)目空間。需要特殊說(shuō)明的是，ODPS只允許主賬號(hào)將自身的RAM子賬號(hào)加入到項(xiàng)目空間中，不允許加入其它云賬號(hào)的RAM子賬號(hào)，因 此在add user時(shí)，無(wú)需再RAM子賬號(hào)前指定主賬號(hào)名稱(chēng)，ODPS默認(rèn)判定命令的執(zhí)行者即是

16、子賬號(hào)對(duì)應(yīng)的主 賬號(hào)。角色(Role)是一組訪問(wèn)權(quán)限的集合。當(dāng)需要對(duì)一組用戶賦予相同的權(quán)限時(shí)，可以使用角色來(lái)授權(quán)?；诮巧?授權(quán)可以大大簡(jiǎn)化授權(quán)流程， 降低授權(quán)管理成本。當(dāng)需要對(duì)用戶授權(quán)時(shí)，應(yīng)當(dāng)優(yōu)先考慮是否應(yīng)該使用角色來(lái)完成。每一個(gè)項(xiàng)目空間在創(chuàng)建時(shí)，會(huì)自動(dòng)創(chuàng)建一個(gè)admin的角色，并且為該角色授予了確定的權(quán)限：能訪問(wèn)項(xiàng)目空間 內(nèi)的所有對(duì)象， 能進(jìn)行用戶與角色管理，能對(duì)用戶或角色進(jìn)行授權(quán)。與項(xiàng)目空間Owner相比，admin角色不能將admin權(quán)限指派給用戶，不能設(shè)定項(xiàng)目空間的安全配置， 不能修改項(xiàng)目空間的鑒權(quán)模型。Admin角色所對(duì)應(yīng)的權(quán)限不能被修改。create role -創(chuàng)建角色dro

17、p role -刪除角色grant to -給用戶指派某種角色revoke from -撤銷(xiāo)角色指派角色管理相關(guān)命令如下：備注:刪除一個(gè)角色時(shí)，ODPS會(huì)檢查該角色內(nèi)是否還存在其他用戶。若存在，則刪除該角色失敗。只 有在該角色的所有用戶都被撤銷(xiāo)時(shí)，刪除角色才會(huì)成功。授權(quán)操作一般涉及到三個(gè)要素：主體(Subject，可以是用戶也可以是角色)，客體(Object)和操作(Action)。在ODPS中，主體是指用戶或角色，客體是指項(xiàng)目空間中的各種類(lèi)型對(duì)象， 操作則與特定對(duì)象類(lèi)型有關(guān)，不同類(lèi)型的對(duì)象支持的操作也不盡相同。ODPS項(xiàng)目空間支持如下的對(duì)象類(lèi)型及操作：客體(Object)操作(Action)

18、說(shuō)明ProjectRead查看項(xiàng)目空間自身(不包括項(xiàng)目空間的任何對(duì)象)的信息，如CreateTime等ProjectWrite更新項(xiàng)目空間自身(不包括項(xiàng)目空間的任何對(duì)象)的信息，如CommentsProjectList查看項(xiàng)目空間所有類(lèi)型的對(duì)象列表ProjectCreateTable在項(xiàng)目空間中創(chuàng)建TableProjectCreateInstance在項(xiàng)目空間中創(chuàng)建InstanceProjectCreateFunction在項(xiàng)目空間中創(chuàng)建FunctionProjectCreateResource在項(xiàng)目空間中創(chuàng)建ResourceProjectCreateJob在項(xiàng)目空間中創(chuàng)建JobProject

19、CreateVolume在項(xiàng)目空間中創(chuàng)建VolumeProjectCreateOfflineModel在項(xiàng)目空間中創(chuàng)建OfflineModelProjectCreateXflow在項(xiàng)目空間中創(chuàng)建XflowProjectAll具備上述所有權(quán)限TableDescribe讀取Table的元信息TableSelect讀取Table的數(shù)據(jù)TableAlter修改Table的元信息TableUpdate覆蓋或添加Table的數(shù)據(jù)TableDrop刪除TableTableAll具備上述所有權(quán)限FunctionRead讀取FunctionWrite更新FunctionExecute執(zhí)行FunctionDele

20、te刪除FunctionAll具備上述所有權(quán)限Resource,Instance, Job, VolumeRead讀取Resource,Instance, Job, VolumeWrite更新Resource,Instance, Job, VolumeDelete刪除Resource,Instance, Job, VolumeAll具備上述所有權(quán)限OfflineModelRead讀取OfflineModelWrite更新OfflineModelDelete刪除OfflineModelAll具備上述所有權(quán)限XflowRead讀取XflowWrite更新XflowExecute執(zhí)行XflowDel

21、ete刪除XflowAll具備上述所有權(quán)限備注:上述權(quán)限描述中Project類(lèi)型對(duì)象的CreateTable操作，Table類(lèi)型的Select、Alter、Update、Drop操作需要與Project對(duì)象的CreateInstance操作權(quán)限配合使用。 單獨(dú)使用上述幾種權(quán)限而沒(méi)有指派CreateInstance權(quán)限是無(wú)法完成對(duì)應(yīng)操作的。這與ODPS的內(nèi)部實(shí)現(xiàn)相關(guān)。類(lèi)似的， Table的Select權(quán)限也要與CreateInstance權(quán)限配合使用。使用時(shí)請(qǐng)注意。在添加用戶或創(chuàng)建角色之后，需要對(duì)用戶或角色進(jìn)行授權(quán)。ODPS授權(quán)是一種基于對(duì)象的授權(quán)。通過(guò)授權(quán)的權(quán) 限數(shù)據(jù)(即訪問(wèn)控制列表, Acc

22、ess Control List) 被看做是該對(duì)象的一種子資源。只有當(dāng)對(duì)象已經(jīng)存在時(shí)，才能進(jìn)行授權(quán)操作；當(dāng)對(duì)象被刪除時(shí)，通過(guò)授權(quán)的權(quán)限數(shù)據(jù)會(huì)被自動(dòng)刪除。 ODPS授權(quán)支持類(lèi)似于SQL92定義的GRANT/REVOKE語(yǔ)法，它通過(guò)簡(jiǎn)單的授權(quán)語(yǔ)句來(lái)完成對(duì)已存在的項(xiàng)目空間對(duì)象的授權(quán)或撤銷(xiāo)授權(quán)。grant actions on object to subject revoke actions on object from subject actions := action_item1, action_item2, .object := project project_name | table sche

23、ma_name | instance inst_name | function func_name | resource res_namesubject := user full_username | role role_nameODPS支持的授權(quán)方法是采用類(lèi)似SQL92定義的GRANT/REVOKE語(yǔ)法來(lái)進(jìn)行授權(quán)。授權(quán)語(yǔ)法如下：熟悉SQL92定義的GRANT/REVOKE語(yǔ)法或者熟悉Oracle數(shù)據(jù)庫(kù)安全管理的用戶容易發(fā)現(xiàn)，ODPS的ACL授權(quán)語(yǔ) 法并不支持 WITH GRANT OPTION 授權(quán)參數(shù)。 也就是說(shuō)，當(dāng)用戶A授權(quán)用戶B訪問(wèn)某個(gè)對(duì)象時(shí)，用戶B無(wú)法將權(quán)限進(jìn)一步授權(quán)給用戶C。那么，

24、所有的授權(quán)操作都必須由具有以下三種身份之一的用戶來(lái)完成：項(xiàng)目空間Owner項(xiàng)目空間中擁有admin角色的用戶項(xiàng)目空間中對(duì)象創(chuàng)建者下面給出一個(gè)簡(jiǎn)單的使用ACL授權(quán)的應(yīng)用實(shí)例：場(chǎng)景說(shuō)明：云賬號(hào)用戶alice和bob是新加入到項(xiàng)目空間test_project的成員。在test_project中，他們需要提交作業(yè)、 創(chuàng)建數(shù)據(jù)表、查看項(xiàng)目空間已存在的對(duì)象。use test_project; -打開(kāi)項(xiàng)目空間add user aliyun$alice; -添加用戶add user aliyun$bob; -添加用戶create role worker; -創(chuàng)建角色grant worker TO aliyun

25、$alice; -角色指派grant worker TO aliyun$bob; -角色指派grant CreateInstance, CreateResource, CreateFunction, CreateTable, List ON PROJECT test_project TO ROLE worker; -對(duì)角色授權(quán)管理員執(zhí)行的授權(quán)操作如下：ODPS支持從多種維度查看權(quán)限，具體包括查看指定用戶的權(quán)限、查看指定角色的權(quán)限、以及查看指定對(duì)象的 授權(quán)列表。在展現(xiàn)用戶權(quán)限或角色權(quán)限時(shí)，ODPS使用了如下的標(biāo)記字符：A、C、D、G，它們的含義如下：A: 表示Allow，即允許訪問(wèn)。D: 表示D

26、eny，即拒絕訪問(wèn)。C: 表示with Condition，即為帶條件的授權(quán)，只出現(xiàn)在policy授權(quán)體系中。odpstest_project show grants for HYPERLINK mailto:aliyun%24odpstest1 aliyun$odpstest1 rolesdevAuthorization Type: ACL role/devAprojects/test_project/tables/t1: Select HYPERLINK mailto:user/odpstest1 user/odpstest1Aprojects/test_project: CreateTa

27、ble | CreateInstance | CreateFunction | List Aprojects/test_project/tables/t1: Describe | SelectAuthorization Type: Policy role/devACprojects/test_project/tables/test_*: Describe DCprojects/test_project/tables/alifinance_*: Select HYPERLINK mailto:user/odpstest1 user/odpstest1Aprojects/test_project:

28、 Create* | ListACprojects/test_project/tables/alipay_*: Describe | SelectAuthorization Type: ObjectCreatorAGprojects/test_project/tables/t6: All AGprojects/test_project/tables/t7: AllG: 表示with Grant option，即可以對(duì)object進(jìn)行授權(quán)。一個(gè)簡(jiǎn)單的展現(xiàn)權(quán)限的樣例如下：查看指定用戶的權(quán)限查看指定角色的權(quán)限describe role -查看指定角色的訪問(wèn)權(quán)限角色指派show grants -查看當(dāng)

29、前用戶自己的訪問(wèn)權(quán)限show grants for -查看指定用戶的訪問(wèn)權(quán)限，僅由ProjectOwner和Admin才能有執(zhí)行權(quán)限。查看指定對(duì)象的授權(quán)列表show acl for on type -查看指定對(duì)象上的用戶和角色授權(quán)列表備注:- 當(dāng)省略on type 時(shí)，默認(rèn)的type為T(mén)able。MaxCompute 是一個(gè)支持多租戶的數(shù)據(jù)處理平臺(tái)，不同的租戶對(duì)數(shù)據(jù)安全需求不盡相同。為了滿足不同租戶對(duì)數(shù)據(jù)安全的靈活需求，MaxCompute 支持項(xiàng)目空間級(jí)別的安全配置，ProjectOwner可以定制適合自己的外部賬號(hào)支持和鑒權(quán)模型。MaxCompute 支持了多種正交的授權(quán)機(jī)制，如ACL授權(quán)，隱式授權(quán)(如對(duì)象創(chuàng)建者自動(dòng)被賦予訪問(wèn)對(duì)象的權(quán)限show SecurityConfiguration-查看項(xiàng)目空間的安全配置set CheckPermissionUsingACL=true/false-激活/凍結(jié)ACL授權(quán)機(jī)制，默認(rèn)為trueset ObjectCreatorHasAccessPermission=true/false-許/禁止對(duì)象創(chuàng)建者默認(rèn)擁有訪問(wèn)權(quán)限，默認(rèn)為true set ObjectCreatorHasGrantPermission=true/false-允許/禁止對(duì)象創(chuàng)建者默認(rèn)擁