安全管理
MaxCompute 权限、授权、白名单等相关问题
1. MaxCompute中的权限粒度最小能到什么级别?
MaxCompute 通过基于标签的安全策略(LabelSecurity)实现用户对列级别敏感数据的访问。
LabelSecurity 是项目级别的一种强制访问控制策略。可以参考文档。
2. 如何处理在 Datastudio 中屏显数据带***的问题?
DataStuido 界面左下角设置->工作空间配置->关闭启用页面查询内容脱敏。
3. 收集一个月内访问 MaxCompute 的用户,应该使用什么功能?
可以使用审计日志来查看,MaxCompute 完整地记录用户的各项操作行为,并通过阿里云 ActionTr ail 服务将用户行为日志实时推送给 ActionTrail。
注意 ActionTrail 默认只保留 15 天的数据,若需要长期保留需自行到 ActionTrail 上进行日志存储设置。参考文档。
4. 如何查看成员用户 A,是否有对其它成员的授权权限?对其它成员的授权的权限管理的“客体(Object)”和“操作(Action)"是什么?
可以使用主账号或者拥有 MaxCompute 管理角色(super_administrator 或者 admin)的账号来给其他的子账号做授权操作。
MaxCompute使用 ACL 授权、授权一般涉及到三个要素,主体(Subject,可以是用户也可以是角色)、客体(Object)和操作(Action)介绍参考官方文档。
MaxCompute 和 DataWorks 权限关系可以看本篇文档就很清晰了。
5. MaxCompute可以对单个表授权吗?
MaxCompute 提供了 ACL(基于对象)、跨项目数据分享和项目数据保护等多种授权方式。我们推荐您优先使用ACL 授权,而非 Policy(基于策略)授权。可以使用ACL 授权,参考官网文档。
6. 一般都是子账号登录使用 MaxCompute,是否有工具可以查到用户行为,如对表的增、删、改、查等操作?
可以通过审计日志功能和元数据功能配合使用,查到用户行为记录。可以参考本篇文章。
7. MaxCompute和 DataWorks 的权限关系?
通过 MaxCompute 的安全模型进行权限控制,并不会影响成员在 DataWorks 任何界面操作。而通过 DataWorks 的用户角色分配,则有可能影响成员 MaxCompute 资源权限。也可以通过视频来了解两者的关系。
8. 需要从 MaxCompute 数据导入到 mysql,但是受到数据保护,无法导出,如何解决?
可以通过关闭数据保护或者配置 exception policy 来完成。
9. 如何赋予 MaxCompute 操作表的权限?
MaxCompute 可以通过授权方式对其中的表、任务、资源等客体的某种操作权限,包括读、写、查看等。
10. MaxCompute-VPC IP 白名单是否支持设置地址段?
支持,如:setproject odps.security.vpc.whitelist=cn-beijing_125179[100.116.0.0/16];可参考官方文档。
>>快来点击免费下载《阿里云MaxCompute百问百答》了解更多详情!<<