开发者学堂课程【云原生一体化数仓新能力解读课程:数据安全能力解读】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1193/detail/18114
数据安全能力解读
四、RAM子账号
(1)子账号介绍
让子账号可能有维护,一开始用的时候是不太清楚 Mt 的这些云账号,主账号子账号是什么意思主账号是刚才说的阿里云上申请的一个一个账号主体,一般在企业或者是一个部门去是有一个主账号的,这个主张后,如果说他把每一个员工要在阿里云或者是让云上供台上申请一个账号,非常的麻烦,管理也很复杂,所以给部门下面可以创建出一些子账号,这些子账号是从属的这个主账号的,然后是能管理下面所有的这个这个下面的这些账非常好的奇石账号是做这种企业员工管理。
然后主账号是企业的旅游结算账号或者是 CEO 他的手里拿着这个主账号,其他的人是子账号,当然子账后角色有不同的角色,有不同的权限,之间还可以做委托的各种互相的管理,所以说这块资源权权限访问的话,去细分一下,你分为主账号和子账号的访问,主账号刚才说的是一个账号的主体,它可以包括不同的子账号。
然后主账号访问的时候它会校验校验这个主账号是不是这个资源的所有者,然后以及这个对应的搜索者才能访问个资源。 这个访问资源的权限当做子账号访问的时候,子账号一是会检查是不是已经被主账号受理的这个访问数据的这个权限,主账号是管理子账号的,所以主账号给子账号授予一个访问资源的权限之后,同时这张号还要看,授予权限的这个人主张号是不是有这个资源的使用权限,所以他不但要检查自己是不是被授权,他检查授权他的主账号是不是有这个权限,这样的。
然后一个项目里面加是把其他的主账号加进来的时候是个什么逻辑的,项目的主账号是肯定是可以是 proj ohh 他创建a类似创建一个 proj 的,他是欧他肯定能访问,然后首先他可以把他自己的下面的一个子账号加进来,相当于把他自己员工加进来,也可以把另外一个企业的主称号加进来,比如一个 DNA 把个加进来,这也是允许的,但是他不允许再把别人下面的一个个子账号加进来。 这个时候如果想把它把加进来是 s 把 d 加进来,在这里面授予一个角色,或者是一个权限,他允许再添加用户的话,他可以再把自己的资产号加进来。然后是管理这个下面的这些分级员工或者是其他的使用的一些角色。
(2)Role
再看看 Role是, role 其实并不是里面的角色,它是一个统一寿命的与平台上面的一个角色。这个角色是一种虚拟的用户,他虽然是有确定的身份,因为他他没有身份的话,他没法受理这种权限策略,但是它是一个虚拟的角色,虚拟的用户他没有确定的当中的用户密码,他需要一个有用户密码的一个具体的身份去扮演这个角色。
然后可以可以去执行这个具体的扮演人的这个能力,这个干什么用的,是比如说 s它是一个 MC 的一个权限的拥有者,同时它也是用S的权益原则,或者说另外一个成本用户才有做红 s 的 mc 的一个外表,他在这两边有权限,这两个产品之间如果要做互相前线的认证打通,是一个非常复杂的工程乱的或者是大家实现不一致,会有一个安全漏洞的问题。这个其实是可以做这种产品间的认证打通的这么一个角色扮演的这个逻辑,然后扮演成功后这个实体拿这个扮演这个角色的这个这个是这个用户的安全平台和他的权限访问,他有权限访问这个数据,然后可以通过控台去改这个软木的这些对应的权限,然后还可以把这个 role 跳进来,然后后续这个项目里的一些 RAM 用户可以扮演这个 RAM 角色来执行操作。
举个例子,比如MC要建一张 Hologres 的外表或者建一张表,然后如果说没有这样,MC 需要把这个 OSS 这个访问的这些策略信息这个可以写在这张界外表的这个这个第三里面,但是这样是不安全的,但是如果说 OSS 上面有一个用户一个账号,它注册到 RM 上去,然后让用这个里面的绑定的个用户的个权限和角色去访问OSS。 MC 加入 RAM Role 之后 MC 访问 OSS 的时候实际上是用 RAM Role 扮演的个角色成功 OSS。所以关注是一个跨产品之间访问数据的这么一个扮演角色,所以RAM Role 并不是 MC 项目链的角色,但是可以被添加进来, MC 内部真正有的角色是对一个内部的用户的集合,相当于是 MC 内部的权限的一个集合,它可以对用户批量授权用。 比如说当一组用户可以想授予相关权限的时候,用角色来对这些用户的授权,可以大大的简化这个授权的流程。
然后一个用户其实可以被分配很多个角色的,然后这些这个用户有这些决策权限的个合集。角色还分两种两个层面,一个是中部级别的层面,是客户是在项目之上的一个相当于主账号的这么一个级别的概念。是用户可能在因为这,因为主账号它可以创建项目,在创新项目之前还需要管理一些比如像网络连接或者是项目之上的一些一些逻辑的时候,需要有一个账户级别的角色来干这件事,么说账号肯定是一个默认的一个全身体,但是它下面的话有一个突破的面,这个的面除不能创建项目,除了项目开通服务之外,它相当于是一个阿里的云账号或者一个主账号。然后还有一个秘密的角色是管理项目,另他等等些小一点的权限。
项目级别,然后在项目级别,每一个主账号或者是其实然后也可以创建项目创建项目的时候,他是这个项目不是然后一般来说很多时候的项目是主张号是创建的,但是主张号往往在一般的客户里面,它是一个 CEO 版拿的或者是一个结算,结算费用的这么一个账号,所以不会给一般的员工来用,他的权限很高,这时候些高级管理权限办。每个项目里头会默认种人的这种高级的管理权限,然后项目主张号被个 CEO 拿在手里,然后项目创建项目的时候授予个一个这块规定的权限是不是一个一般的子账号,然后这个子账号作为管理员,是对代为行使这些管理的这些这些能力,然后当然可以接着去创建其他的这些自定义的这个角色,比如运维或者是治理或者建模或者测试开发等等其他角色,是你们自己再去创业。 所以说MC内部的角色是一些权限的集合,可以有一些系统内置管理的能力,或者是项目内部待遇管理的能力,可以做逐级的这种权限的授权。
五、租户
主机的这种用户的这种后续的开发使用。然后刚才其实已经提到一些最后的一个概念,看看里面什么设备租户,其实每个人主账号其实是一个租户,一般建立一个一级部门或者一个小的企业,它是一个大别人注册的一个租户,然后国户之间是安全隔离的租户,内部有有这种比如表视图,然后有从项目里面的每个最后有多个项目,每个项目里会有用户有角色,然后这个项目可以用的一些 SARS,比如开通脚板 Java的架包,然后去支持的优点处或者是一些Python的一些脚本,然后项目里头还包括一些安全的策略,刚才说的今天是项目级别的角色,还有一些授权是项目级别的。 租户里面其实还有一个很关键的一个是它的资源,是包括的一些应付费资源或者后付费的这些组,张云其实还包括存储的一些权限,是绑的这个项目最后里面的然后还有一些是刚才说的像公共的项目共享的这种网络连接也是在这个租户里面的,租户一般在公务员来说,一个中控在一个日志里面,其实周围还可以用跨地域可以做一些跨机群的种多利用种反馈或者联盟快快于计算,公园是在一个认证里面。
然后所有的这些的平台,所有的这些租户之间统一遵照一套的权权限管理体系,而且租户一个支部会有多个项目,然后多个部门的是多个租户之间也可以共享一个项目,相当于把别人加进来,然后不是一个计量计费的一个主体。
六、项目空间管理
项目空间是用的比如一个爱丽丝创建一个叫 one 的项目,它自己成为这个项目的out,然后他只有他能访问这个项目里面的这些资源,然后给别人授权别人,否则的话任何人没法保证这个管理上的这个项目。 这时候他需要把 Bob 添加进来,给他做一些正常的工作,首先到不要一个账号。
它是个s的一个子账号,看到它可以被加在这个弯道上的项目里来,然后Alice把它加进来,然后开始给这个 Bob 做一些对象的一些授权,比如说哪张表的权限或者创新表的权限,或者是把这个帮添加成一个角色,他可以用。个时候如果想把他这些权利取消掉,直接把这个包裹从项目中一份收据,合同不能访问这个项目,比如一个人离职,把它把从项目里的移走,他这些所有的个数据访问的个能力,但是是默认把它这个权限还留在这个项目里的,是如果又来一个新人顶替他的个职位,所有的权限应该是一样的话,他会把这个用户把个新的这个人身上他可以用。
