带你读《企业级云原生白皮书项目实战》——5.2.2 使用安全(3)

简介: 带你读《企业级云原生白皮书项目实战》——5.2.2 使用安全(3)

《企业级云原生白皮书项目实战》——第五章 大数据——5.2 云原生大数据计算服务 MaxCompute——5.2.2 使用安全(2) https://developer.aliyun.com/article/1228575?groupCode=supportservice


5.2.2.2.3 ACL与Policy授权方案的异同

•相同点一:都是基于主体(被授权人)、客体(对象)和操作,三元素

•同点二:语法相似

ACL:
grant <actions> on <object_type> <object_name> [(<column_list>)] to 
<subject_type> <subject_name> [privilegeproperties("conditions" = "<condi
tions>", "expires"="<days>")];
Policy:
grant <actions> on <object_type> <object_name> to ROLE <role_name> 
privilegeproperties("policy" = "true", "allow"="{true|false}"[, "conditions"= 
"<conditions>" ,"expires"="<days>"]);

•相同点三:控制功能开关默认均为打开状态

•相同点四:均支持conditions属性,从请求消息来源及访问方式等维度进行权限控制

•相同点五:授权主体都必须存在,才能授权成功。例如:ACL授权中,to USER/ROLE之后跟着的用户和角色都必须存在;Policy授权中,to ROLE之后跟着的角色必须存在

差异点使用表格进行列举,更为直观:

1684998429432.png


注意事项:

不管是ACL还是Policy方式,当一个用户被移除后,与该用户有关的授权仍然会被保留。一旦该用户被再次添加到该项目时,该用户的历史授权访问权限将被重新激活。如果需要彻底清除用户的权限信息,需要使用权限清空指令,显式地进行清理操作,避免风险:

purge privs from user ;

如此设计的目的是,在用户或角色因为误操作被删除或移出项目时,重新加入/创建后,可以快速恢复原先保留的权限,但也带来了上述的风险,所以提供了purge privs 相关操作命令,来规避风险。

5.2.2.2.4 其它授权方案

除去上文所述的ACL和Policy之外,还有三种场景在此作简要介绍。

•Download权限控制

该开关默认关闭,表示不使用Download权限控制功能,即项目中的所有用户或角色对所有表、资源、函数或实例都有Download权限。项目所有者(Project owner)或具备Super_Administrator角色的用户可以在MaxCompute项目的Project级别,执行setproject odps.security.enabledownloadprivilege=true|false;命令,开启或关闭Download权限控制功能。

在MaxCompute项目中,可以通过Tunnel下载表数据或实例执行结果,但由于下载操作存在数据泄露安全风险,需要对该操作权限进行限制,该授权方案适用于此种对于数据导出、下载较为敏感的业务场景。

•Label权限控制

该开关默认关闭,项目所有者(Project1Owner)可以在MaxCompute项目的Project级别,执行set labelsecurity=true|false;命令,开启或关闭LabelSecurity。

开启后,将以数字(取值范围为0~9。数值越大,安全级别越高。)来标注主体和客体(到字段颗粒度)的敏感等级,除必须拥有目标表的SELECT权限外,仅能访问敏感等级小于等于自身访问许可等级的表或列数据。

•基于Package跨项目访问资源

该授权机制,主要是解决,当您的项目中有大量的对象需要开放给另一项目中的用户使用时,可以将所有需要开放的资源“打包”到一个Package里,然后授权给到目标项目,由目标项目的管理员进行二次的授权,实现精细管理。

总体的使用步骤如下:

image.png

相关实践学习
基于MaxCompute的热门话题分析
Apsara Clouder大数据专项技能认证配套课程:基于MaxCompute的热门话题分析
相关文章
|
10月前
|
SQL 人工智能 分布式计算
ODPS十五周年实录|构建 AI 时代的大数据基础设施
本文根据 ODPS 十五周年·年度升级发布实录整理而成,演讲信息如下: 张治国:阿里云智能集团技术研究员、阿里云智能计算平台事业部 ODPS-MaxCompute 负责人 活动:【数据进化·AI 启航】ODPS 年度升级发布
452 9
|
12月前
|
存储 分布式计算 大数据
【赵渝强老师】阿里云大数据存储计算服务:MaxCompute
阿里云MaxCompute是快速、全托管的TB/PB级数据仓库解决方案,提供海量数据存储与计算服务。支持多种计算模型,适用于大规模离线数据分析,具备高安全性、低成本、易用性强等特点,助力企业高效处理大数据。
587 0
|
人工智能 关系型数据库 OLAP
光云科技 X AnalyticDB:构建 AI 时代下的云原生企业级数仓
AnalyticDB承载了光云海量数据的实时在线分析,为各个业务线的商家提供了丝滑的数据服务,实时物化视图、租户资源隔离、冷热分离等企业级特性,很好的解决了SaaS场景下的业务痛点,也平衡了成本。同时也基于通义+AnalyticDB研发了企业级智能客服、智能导购等行业解决方案,借助大模型和云计算为商家赋能。
1070 17
|
10月前
|
SQL 存储 分布式计算
【万字长文,建议收藏】《高性能ODPS SQL章法》——用古人智慧驾驭大数据战场
本文旨在帮助非专业数据研发但是有高频ODPS使用需求的同学们(如数分、算法、产品等)能够快速上手ODPS查询优化,实现高性能查数看数,避免日常工作中因SQL任务卡壳、失败等情况造成的工作产出delay甚至集群资源稳定性问题。
1732 36
【万字长文,建议收藏】《高性能ODPS SQL章法》——用古人智慧驾驭大数据战场
|
10月前
|
机器学习/深度学习 传感器 监控
吃得安心靠数据?聊聊用大数据盯紧咱们的餐桌安全
吃得安心靠数据?聊聊用大数据盯紧咱们的餐桌安全
316 1
|
10月前
|
存储 分布式计算 资源调度
【赵渝强老师】阿里云大数据MaxCompute的体系架构
阿里云MaxCompute是快速、全托管的EB级数据仓库解决方案,适用于离线计算场景。它由计算与存储层、逻辑层、接入层和客户端四部分组成,支持多种计算任务的统一调度与管理。
855 1
|
12月前
|
安全 Cloud Native 容器
开发者视角:构建坚不可摧的云原生安全工具 - 安全内生于开发流
云原生时代,运维团队面临容器漏洞、微服务失陷与CI/CD污染三大威胁。通过容器基因解码、微服务免疫与管道净化构建三维防御体系,结合板栗看板、Snyk、Check Point、Aqua等工具,实现从漏洞预测到实时拦截的全链路防护。未来,安全将内生于云原生技术,构建主动免疫防线。
开发者视角:构建坚不可摧的云原生安全工具 - 安全内生于开发流
|
存储 安全 Cloud Native
云原生安全必修课:RDS透明加密(TDE)与数据脱敏联动实施方案
云原生环境下,数据泄露风险日益严峻,传统安全方案面临加密与脱敏割裂、保护不连续、权限控制粗放三大挑战。本方案融合TDE透明加密与动态数据脱敏技术,构建存储-传输-计算全链路防护体系,通过SQL级加密与角色化脱敏规则,实现细粒度数据保护。结合密钥管理、权限控制与多云适配,提升安全性与性能,广泛适用于金融、医疗等高安全要求场景。
544 3
|
存储 缓存 分布式计算
OSS大数据分析集成:MaxCompute直读OSS外部表优化查询性能(减少数据迁移的ETL成本)
MaxCompute直读OSS外部表优化方案,解决传统ETL架构中数据同步延迟高、传输成本大、维护复杂等问题。通过存储格式优化(ORC/Parquet)、分区剪枝、谓词下推与元数据缓存等技术,显著提升查询性能并降低成本。结合冷热数据分层与并发控制策略,实现高效数据分析。
395 2
|
人工智能 分布式计算 大数据
构建AI时代的大数据基础设施-MaxCompute多模态数据处理最佳实践
本文介绍了大数据与AI一体化架构的演进及其实现方法,重点探讨了Data+AI开发全生命周期的关键步骤。文章分析了大模型开发中的典型挑战,如数据管理混乱、开发效率低下和运维管理困难,并提出了解决方案。同时,详细描述了MaxCompute在构建AI时代数据基础设施中的作用,包括其强大的计算能力、调度能力和易用性特点。此外,还展示了MaxCompute在多模态数据处理中的应用实践以及具体客户案例,最后提供了体验MaxFrame解决方案的方式。
1361 2

热门文章

最新文章