MaxCompute安全和管理

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介: MaxCompute安全和管理

用户与角色

多租户安全体系:

1、用户认证

MaxCompute账号体系
MaxCompute支持云账号和RAM账号两种账号体系
云账号:默认情况下,MaxCompute项目仅能识别阿里云账号系统;
申请阿里云账号-实名认证-创建运行密钥accesskeys
accesskey由两部分组成:accesskeyid和accesskeysecret组成,accesskeyid 用于检索Accesskey,Accesskey用于计算消息签名
查看账号系统命令:
list accountproviders;

RAM账号:RAM(resource access management)是阿里云为客户提供的用户身份管理与资源访问控制服务,通过RAM服务,主账号可以创建、管理用户账号(RAM账号),控制这些用户账号对主账号名下资源具有的操作权限。
从归属关系上看,云账户与RAM用户是一种主子关系。
从权限角度看,云账户与RAM用户是一种root与user的关系(类比Linux系统)。
MaxCompute仅能识别RAM的账号体系,不能识别RAM的权限体系;添加RAM
账号系统命令:
add accountprovider ram;

用户认证:
用户认证检查请求request发送者的真实身份:正确验证消息发送方的真实身份,正确验证接收到的消息在途中是否被篡改。
云账号认证使用消息签名机制,可以保证消息在传输过程中的完整性integrity和真实性authenticity,目前采用的消息签名算法是HMAC-SHA1
LVS负载均衡发送accessid MD5签名-HTTP Server发送accessid MD5签名-云账号服务器返回accountid-HTTP Server
项目空间用户管理:
1、Alice创建一个名为wonderland的项目,自动成为owner;没有Alice授权,其他任何人都无法访问wonderland;
2、Alice要授权Bob允许他访问wonderland的一些对象:首先bob要有一个合法的云账号,然后Alice要把bob的云账号加到项目中,最后赋一些对象的权限给bob。
3、alice要禁止Bob访问项目,则直接将他的云账号从项目中移除即可,前提是bob没有被赋予任何角色。
4、bob虽然被移除了项目,但他之前被赋予的权限仍然保留在项目中。下次一旦他被Alice加入到同一个项目,原有的权限将会被自动激活。
角色管理:角色(role)是一组访问权限的集合。
相比owner,admin角色不能将admin角色赋给别的用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型。
角色的限制:admin角色的权限不能被修改;没被使用的角色才可以被删除。

2、项目空间的用户与授权管理

授权三要素:主体subject、客体object、操作action
授权两方法:ACL基于对象的授权;Policy基于策略的授权。
ACL授权客体包括project、table、function、resource、instance。
说明:project类型对象的createtable操作、table类型的select、alter、update、drop操作需要与project对象的create instance操作权限配合使用;当跨项目操作如在项目A里select项目B的table,则需要有项目A的createinstace和项目B的tableselect权限。
ACL授权:
基本语法:
grant on

权限查看:
A:表示allow,即允许访问。
D:表示deny,即拒绝访问。
C:表示with Condition,即为带条件的授权,只出现在policy授权体系中。
G:表示with grant option,即可以对object进行授权
查看指定用户权限:
show grants;查看当前用户自己的访问权限
show grants for ;查看指定用户的访问权限,仅由projectowner和admin才能执行权限。
查看指定角色权限:
describe role;查看指定角色的访问权限角色指派
项目空间的安全配置:鉴权模型配置

用户管理和授权

基于标签的安全管理

基于标签的安全控制

labelsecurity基本操作

LabelSecurity注意事项

应用场景

应用场景2

跨项目空间的资源分享

Package

package是一种跨项目空间共享数据及资源的机制,主要用于解决跨项目空间的用户授权问题。
创建者(资源提供方)+使用者(资源使用者)=Package机制
Package创建者

Package使用者

例子:

项目空间的数据保护

防止数据流出:

项目空间的保护机制

设置ProjectProtection规则:数据只能流入,不能流出
set ProjectProtection=true;
设置后,触犯了ProjectProtection规则的数据流出会被禁止。
默认时,ProjectProtection不会被设置,需要手工开启。

项目空间保护下的合规数据流出

资源分享和数据保护

image

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
26天前
|
存储 安全 大数据
大数据隐私保护:用户数据的安全之道
【10月更文挑战第31天】在大数据时代,数据的价值日益凸显,但用户隐私保护问题也愈发严峻。本文探讨了大数据隐私保护的重要性、面临的挑战及有效解决方案,旨在为企业和社会提供用户数据安全的指导。通过加强透明度、采用加密技术、实施数据最小化原则、加强访问控制、采用隐私保护技术和提升用户意识,共同推动大数据隐私保护的发展。
|
19天前
|
存储 安全 大数据
|
3月前
|
存储 监控 安全
大数据架构设计原则:构建高效、可扩展与安全的数据生态系统
【8月更文挑战第23天】大数据架构设计是一个复杂而系统的工程,需要综合考虑业务需求、技术选型、安全合规等多个方面。遵循上述设计原则,可以帮助企业构建出既高效又安全的大数据生态系统,为业务创新和决策支持提供强有力的支撑。随着技术的不断发展和业务需求的不断变化,持续优化和调整大数据架构也将成为一项持续的工作。
|
3月前
|
安全 关系型数据库 MySQL
揭秘MySQL海量数据迁移终极秘籍:从逻辑备份到物理复制,解锁大数据迁移的高效与安全之道
【8月更文挑战第2天】MySQL数据量很大的数据库迁移最优方案
693 17
|
4月前
|
分布式计算 安全 大数据
HAS插件式Kerberos认证框架:构建安全可靠的大数据生态系统
在教育和科研领域,研究人员需要共享大量数据以促进合作。HAS框架可以提供一个安全的数据共享平台,确保数据的安全性和合规性。
|
4月前
|
SQL 安全 大数据
如何安全的大数据量表在线进行DDL操作
如何安全的大数据量表在线进行DDL操作
68 0
如何安全的大数据量表在线进行DDL操作
|
5月前
|
机器学习/深度学习 自然语言处理 监控
金融行业的大数据风控模型:构建安全高效的信用评估体系
金融机构借助大数据风控提升信贷效率,通过数据收集、清洗、特征工程、模型构建与评估来识别风险。关键技术涉及机器学习、深度学习、NLP和实时处理。以下是一个Python风控模型构建的简例,展示了从数据预处理到模型训练、评估的过程,并提及实时监控预警的重要性。该文旨在阐述大数据风控的核心要素和关键技术,并提供基础的代码实现概念。【6月更文挑战第23天】
921 8
|
4月前
|
机器学习/深度学习 分布式计算 DataWorks
MaxCompute产品使用合集之使用临时查询创建的表,在表管理和公共表没有找到,是什么原因
MaxCompute作为一款全面的大数据处理平台,广泛应用于各类大数据分析、数据挖掘、BI及机器学习场景。掌握其核心功能、熟练操作流程、遵循最佳实践,可以帮助用户高效、安全地管理和利用海量数据。以下是一个关于MaxCompute产品使用的合集,涵盖了其核心功能、应用场景、操作流程以及最佳实践等内容。
|
4月前
|
分布式计算 DataWorks NoSQL
MaxCompute产品使用合集之如何操作和管理节点
MaxCompute作为一款全面的大数据处理平台,广泛应用于各类大数据分析、数据挖掘、BI及机器学习场景。掌握其核心功能、熟练操作流程、遵循最佳实践,可以帮助用户高效、安全地管理和利用海量数据。以下是一个关于MaxCompute产品使用的合集,涵盖了其核心功能、应用场景、操作流程以及最佳实践等内容。
118 0
|
4月前
|
数据采集 监控 关系型数据库
大数据运维之数据质量管理
大数据运维之数据质量管理
116 0
下一篇
无影云桌面