写回答
-
推荐回答 LabelSecurity 需要将数据和访问数据的人进行安全等级划分。数据敏 感等级取值范围为 0~9。数值越大,安全级别越高。用户或角色最高可 访问的敏感等级与数据敏感等级标签相对应。
在政府和金融机构的最佳实践中,一般将数据的敏感度标记分为四类: 0 级(不保密,Unclassified),1 级(秘密,Confidential),2 级(机 密,Sensitive),3 级(高度机密,Highly Sensitive)。 在对数据和人分别设置安全等级标记之后,LabelSecurity 的默认安全 策略如下:
o (No-ReadUp)不允许用户读取敏感等级高于用户等级的数据,除 非有显式授权。
o (Trusted-User)允许用户写任意等级的数据,新创建的数据默认为 0 级(不保密)。 租户中的 LabelSecurity 安全机制默认是关闭的,租户 Owner 可以自 行开启。LabelSecurity 安全机制一旦开启,上述的默认安全策略将被 强制执行。当用户访问数据表时,除了必须拥有 Select 权限外,还必 须获得读取敏感数据的相应许可等级。 比如下方用户 A 的 Label 是 3 级,用户有这张表的 select 权限,应该是可 以查到这张表所有的数据,但开启 LabelSecurity 之后,安全等级为 4 级 的数据是访问不到的。
以上内容摘自《阿里云云原生一体化数仓新能力解读》电子书,点击https://developer.aliyun.com/ebook/download/7725 可下载完整版
2022-09-14 23:27:44赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
MaxCompute(原ODPS)是一项面向分析的大数据计算服务,它以Serverless架构提供快速、全托管的在线数据仓库服务,消除传统数据平台在资源扩展性和弹性方面的限制,最小化用户运维投入,使您经济并高效的分析处理海量数据。
