MaxCompute中的数据访问控制机制是什么?
权限检查顺序 MaxCompute 的权限检查顺序如下:LabelSecurity Label 检查--> plicy (DENY 直接返回)policy 检查--> ACL(绑定 role)ACL 检查,role 和用 户权限叠加-->package 跨 project 的权限检查。我们也按照这个顺序讲 一下 MaxCompute 的权限相关的功能。
授权方式 授权需要三部分内容,主体(被授权人),客体(MaxCompute 项目中的 对象或行为),操作(与客体类型有关)。授权时,需要把用户加入项目 内,再分配一个或多个角色,这样就会继承角色内所有的权限。 o 授权的内容包括:表(可以按字段授权)、函数、资源。 o 有 3 种访问控制方式:ACL(Access Control List)、Policy、Label。 o 授权对象:单个用户、角色。
应用场景描述 当租户 Owner 决定对另一个用户 B 授权时,首先将该用户 B 添加到自己 的租户中来。只有添加到租户中的用户才能够被授权。用户 B 加入租户之 后,可以被分配到一个或多个角色(也可以不分配任何角色),那么该用 户 B 将自动继承所有这些角色所拥有的各种权限。当一个用户离开此项目 团队时,租户 Owner 需要将该用户从租户中移除。用户一旦从租户中被移 除,该用户将不再拥有任何访问此租户资源的权限。 权限检查顺序 MaxCompute 的权限检查顺序如下:LabelSecurity Label 检查--> plicy (DENY 直接返回)policy 检查--> ACL(绑定 role)ACL 检查,role 和用 户权限叠加-->package 跨 project 的权限检查。我们也按照这个顺序讲 一下 MaxCompute 的权限相关的功能。
授权方式 授权需要三部分内容,主体(被授权人),客体(MaxCompute 项目中的 对象或行为),操作(与客体类型有关)。授权时,需要把用户加入项目 内,再分配一个或多个角色,这样就会继承角色内所有的权限。 o 授权的内容包括:表(可以按字段授权)、函数、资源。 o 有 3 种访问控制方式:ACL(Access Control List)、Policy、Label。 o 授权对象:单个用户、角色。
应用场景描述 当租户 Owner 决定对另一个用户 B 授权时,首先将该用户 B 添加到自己 的租户中来。只有添加到租户中的用户才能够被授权。用户 B 加入租户之 后,可以被分配到一个或多个角色(也可以不分配任何角色),那么该用 户 B 将自动继承所有这些角色所拥有的各种权限。当一个用户离开此项目 团队时,租户 Owner 需要将该用户从租户中移除。用户一旦从租户中被移 除,该用户将不再拥有任何访问此租户资源的权限。 ACL(Access Control Lists)授权 ACL 权限控制为白名单授权机制,即允许用户或角色对指定对象执行指定 操作。ACL 权限控制方式简单明了,可实现精准授权。
o 主体:被授权人,必须存在于 project 中。 ü 授权人为执行授权操作的用户。授权人需要具备为目标客体和 目标操作授权的权限,才可以执行授权操作。
ü 使用阿里云账号执行授权操作时,支持为当前账号下的 RAM 用 户和其他阿里云账号授权。
ü 使用 RAM 用户账号执行授权操作时,仅支持为隶属同一个阿里 云账号的其他 RAM 用户授权,不支持为其他账号授权。
o 客体:对象:项目、表/视图、字段、函数、资源、实例、Package。 o 角色(role)是一组权限的集合。
o 对象删除时,所有相关的 ACL 也被删除。
以上内容摘自《阿里云云原生一体化数仓新能力解读》电子书,点击https://developer.aliyun.com/ebook/download/7725 可下载完整版
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
MaxCompute(原ODPS)是一项面向分析的大数据计算服务,它以Serverless架构提供快速、全托管的在线数据仓库服务,消除传统数据平台在资源扩展性和弹性方面的限制,最小化用户运维投入,使您经济并高效的分析处理海量数据。