5.2.2 使用安全
5.2.2.1 安全相关设置
针对MaxCompute项目级别的安全设置,最为关键的是ProjectProtection策略。假设某用户同时有A、B两个项目的权限,通过如下指令即可实现全表数据的项目间转移,风险是极高的。
create table project2.table2 as select * from project1.table1;
默认情况下ProjectProtection是关闭状态,即初始状态的MaxCompute项目对于数据的流出不做限制(这里只表达不做项目级别的限制,实际的每一次访问操作都是需要对用户进行认证和鉴权)。
以上这张大图,基本概括了开启项目级数据保护机制后数据流出情况的全景。
流出策略一:设置exception policy(上图左向)
流出策略二:设置trusted project(上图左下部分)
其它策略:“基于Package跨项目访问资源”将在5.2.2.2.4中提及,package机制和ProjectProtection是相互独立的,但在功能上是相互制约的。Package资源分享优先于数据保护机制。即如果某个对象已通过Package方式为其他项目用户授予访问权限,那么该对象不受数据保护机制的限制。(右下部分)
《企业级云原生白皮书项目实战》——第五章 大数据——5.2 云原生大数据计算服务 MaxCompute——5.2.2 使用安全(2) https://developer.aliyun.com/article/1228575?groupCode=supportservice
