阿里云认证

• 合理选择分布列、分区列，避免数据倾斜导致长尾任务提升写入效率。

• 配置较高的资源类型及较多的实例个数。

• 基于一级分区设置数据的生命周期。

• 适当设置较大的分区数，提升磁盘应用率。

• 选择合适的数据同步策略：同步工具、方法、方式以及适当并发数。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

Jion 是表关联方式，有内连接、外连接，外连接又有左外连接和右外连接。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

left Join不会做左右表的重新排序，在右表数据量很大时会造成执行慢、消耗过多内存资源等多个问题。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

甘特图以图形化的方式，形象的展示了查询在ADB 实例上的执行顺序，每个色块表示了一条查询，色块左侧为查询的提交时间，色块右侧为查询的结束时间，色块的相对长度表示了某条查询的执行时间。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

将专家经验以规则的形式体现在执行计划中，对于ADB 的初次接触者，即可以根据诊断结果确定查询执行过程中的性能瓶颈点，也可以根据诊断结果学习到ADB 执行计划中需要关注的重点算子。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 返回客户端的数据量较大。

• JOIN 存在数据膨胀。

• 查询生成的Stage 个数较大。

• 查询读取的数据量较大。

• 数据倾斜。

• Stage 输入数据倾斜。

• Stage 输出输出倾斜。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• Query 级别诊断结果。

• Stage 级别诊断结果。

• Operator（算子）级别诊断结果。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 支持按数据库名、用户名、客户端段IP、耗时、消耗内存以及扫描量等10 余项维度进行检索和查询。

• 支持模糊检索和精确检索。

• 支持字符串类型的检索条件。

• 支持数值类型的检索条件。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

用户要定位慢查询，首先需要找到慢查询。ADB 的用户控制台提供了“甘特图”和“查询列表”两种形式支持在多个维度上进行检索，帮助用户快速定位慢查询，支持最近两周的全量查询检索和分析。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 过滤条件的数据筛选率较低。

• 正常情况下存储层利用索引进行数据的过滤，如果过滤条件没有下推，导致对源表进行了全表扫描，会消化大量的IO。

• 过滤条件下推，但是过滤条件。设置的范围较大，仍然有大量数据被扫描。

• 需要扫描的分区较多。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 过滤条件没有下推到存储层，会消化大量CPU。

• Join 条件中带有过滤操作。

• Join 时没有指定Join 条件。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• Stage 中有GROUP BY 操作，如果GROUP BY 后面有大量不同值，首先GROUPBY 会在内存中缓存这些不同值，会消耗大量内存。

• Stage 中有Join 操作，在AnalyticDB MySQL 中，Join 多数情况下使用HASH，Join 将其中一个小表构建HASH 表加快运算过程，如果小表也比较大，对应构建的HASH 表也会比较大，消耗大量内存。

• Stage 中有SORT 操作，排序需要在内存中运行。

• Stage 中有窗口函数操作，比如常见的RANK、DENSE_RANK、ROW_NUMBER需要在内存中完成。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

1. 消耗内存的慢查询

2. 消耗CPU的慢查询

3. 消耗磁盘I/O 的慢查询

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 查询的复杂度不同造成的压力也不同。

• 如果查询中过滤条件过于复杂，会在数据过滤时对存储节点造成一定压力。

• 如果查询中Join 算子过多，数据可能需要在不同节点间进行多次的网络传输，造成网络阻塞。

• 如果查询中分组字段过多，也会占用较多的内存资源。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

能同时处理的查询数量也会存在上限。如果查询的并发度过高，集群节点资源已到达瓶颈，那么后台的查询就会出现较长时间的排队，影响整体查询效果。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 在处理查询时，通常不会将处理过程中的临时结果暂时写到磁盘里，而是尽量在内存中将所有数据处理掉。

• 如果查询需要处理的数据量较大，就可能会长时间占用大量的资源，导致整体查询效率降低，进而影响最终的查询效果。

• 表存储的数据量较大，在执行索引过滤、明细数据读取等操作时会出现争抢磁盘I/O 资源，导致查询变慢。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 由于使用了分布式数据处理架构，具备将一条查询分解到多个节点上并行执行的能力。

• 充分利用多节点来并行处理查询，还取决于数据在存储节点上的分布特征。

• 如果数据能够均匀分布在存储节点上，多个子任务在处理数据时，就能几乎同时结束任务。

• 数据分布不均匀，子任务在处理数据时会存在时间上的长尾，从而影响最终的查询效果。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

AnalyticDB MySQL 版使用了分布式数据处理架构，一条查询会被分解成多个Stage 在不同的节点上并行执行。所以如果集群中的节点数量越多，AnalyticDBMySQL 版处理查询的能力也会越强。用户可以根据实际的业务需求来决定集群节点的购买数量，更多详情，请参见创建集群。

https://help.aliyun.com/document_detail/122234.html

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 不同集群规格的CPU 核数、内存大小和数据存储介质等属性不同，处理子任务的能力也就不同，需要结合业务查询特征来选择集群规格。

• 以Join 或分组聚合为主的业务查询会消耗较多的CPU 和内存资源。

• 扫描数据和简单分组聚合操作的查询会消耗较多的磁盘I/O 资源。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

对应SQL 语句中的ORDER BY LIMIT m，n 查询。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

用于从数据源读取数据，如果需要过滤数据，那么数据过滤由底层数据源使用索引高效完成。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指对应SQL 语句中对特定字段的投影操作，例如case when then控制流、concat()函数等。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指应SQL 语句中ORDER BY 子句的操作，执行ORDER BY 字段的排序。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指用于将当前Stage 处理后的数据通过网络传输到下游Stage 的节点。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

影响查询性能的因素有：集群规格、节点数量、数据分布特征、数据量大小、查询并发度、查询复杂度。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指对应SQL 语句中的Join 操作。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指对应SQL 语句中的DISTINCT LIMIT 操作。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指使用存储层数据的索引进行过滤。存储层数据没有索引，需要在计算层使用Filter 算子进行过滤。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

一个算子负责完成一个基本的数据处理逻辑，一组算子按照执行计划完成数据的一组处理规则。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

是指通过sum()、count()、avg()等函数对数据进行聚合或分组聚合操作。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• 首先，MySQL端的修改会产生BinLog，DTS通过捕获并解析MySQL端的BinLog日志，转换为Insert/Update/Delete/Alter 等语句，并在ADB 端回放这些操作，实现MySQL 到ADB 的增量同步。

• 结构初始化、全量同步都是一次性的，增量同步则是持续的，只要MySQL 端有变化，DTS 就会捕获并同步到ADB 端。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

• SQL 语言完成用户和系统内部存储数据之间的交互。在执行阶段，AnalyticDB MySQL 版中的查询，会首先被切分为多个Stage 来执行，一个Stage 就是执行计划中某一部分的物理实体。

• 在AnalyticDB MySQL 架构中有三层：接入层、计算层、存储层，是计算存储分离架构。一条SQL 语句执行过程，首先会进入接入层，经过解析器完成语句的解析生成执行计划，优化器对执行计划进行优化，形成逻辑执行计划。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

完成结构初始化和全量同步，则进入增量同步阶段。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

ü MySQL 中存在大量历史数据，这些数据对应的BinLog 或许已经被删除，无法通过重放BinLog 来同步这部分数据。

ü 同时，并行、批量拉取数据并写入ADB，效率也比逐行解析BinLog 要高。

以上内容摘自《阿里云认证的解析与实战-数据仓库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7807 可下载完整版

a) 物理安全

• 满足GB 50174《电子信息机房设计规范》A 类和TIA942《数据中心机房通信基础设施标准》中T3+标准。

• 机房容灾：热和烟雾传感器/双路市电电源和冗余的电力系统/精密空调。

• 人员管理：访问管理/账号管理和身份认证/遵循最小权限和职责分离原则。

• 运维审计：安防监控/7*24 小时巡逻/专人定期复核/日志不可删除。

• 数据销毁：数据安全擦除/云服务客户数据处置。

• 网络隔离：网络安全隔离。

b) 硬件安全

• 固件安全：对底层硬件固件进行加固，包括硬件固件基线扫描、高性能GPU 实例保护、BIOS 固件验签、BMC 固件保护。

• 加密计算：硬件可信执行环境，提供基于硬件的高等级的数据保护能力。

• 可信计算：系统可信和应用可信/基于TPM 2.0 的可信计算技术。

c) 虚拟化安全

• 租户隔离：计算隔离（使用物理处理器权限级别强制执行）、存储隔离（虚拟机只能访问分配给它的物理磁盘空间）、网络隔离。

• 安全加固：减少虚拟化管理程序中可能的被攻击面/可信计算技术/虚拟化管理程序和宿主机OS/内核级安全加固。

• 逃逸检测：高级虚拟机布局算法/虚拟机异常行为检测。

• 补丁热修复：不需要用户重启系统。

• 数据清零：可靠的进行数字清零。

d) 身份和访问控制

• 身份管理：账号生命周期管理/一人一账号/公私数据分离。

• 密码管理：集中下发密码策略。

• 权限管理：根据业务需要合理分配权限/未使用的权限自动冻结/离职/转岗用户自动冻结账号/回收权限。

e) 安全监控和运营

• 云产品安全生命周期：在产品架构审核、开发、测试审核、应急响应的各个环节层层把关/每个节点都有完整的安全审核机制。

• 云平台安全监控：及时发现平台自身被恶意攻击的安全事件/发现安全事件之后，触发云平台内部应急响应流程。

• 蓝军渗透测试：周期实战性质的攻防对抗/检验阿里云安全防御能力、威胁检测能力的水位/完善平台防御体系。

• 安全应急响应：内部监控发现/外部上报的漏洞和安全事件。

• 变更管理：完整的变更管理流程。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

• 横向维度：包括从最底层的云平台层面安全，到对外租户层面的基础安全、数据安全、应用安全和业务安全。

• 纵向维度：包括租户侧和云平台侧的账户安全（身份和访问控制）以及安全监控和运营管理。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

a) 威胁检测和响应

• 云安全中心：实时识别分析、预警安全威胁的统一安全管理系统，基于威胁情报的威胁检测能力，实现威胁检测、响应、溯源的自动化安全运营闭环。

• 应急响应：帮助用户正确应对黑客入侵事件，清理木马后门、分析入侵原因，降低安全事件带来的损失，并帮助客户快速恢复业务。

b) 配置检查

• 配置审计：面向云上资源的审计服务，为用户提供跨区域的资源清单和检索能力，记录资源的历史配置快照，形成配置时间线。

• 云安全中心：对主机进行安全配置扫描，包括账号安全、系统配置数据库风险、合规对标要求等方面。对云平台配置检查，包括身份认证、网络访问控制、数据安全、日志审计、基础安全防护五个维度的最佳安全配置实践检测。

c) 日志审计

• 日志监控：日志服务产品提供了各个云产品日志的实时采集和消费，查询和实时分析，以及投递数据仓库、三方SIEM 的全栈功能，可以使用户对不同的日志实时进行监控和审计。

• 平台侧操作日志透明化：部分云产品（如OSS）对用户提供了平台侧的内部操作透明化能力，让阿里云的相关内部操作事件对用户可见透明，使得用户可以对云平台内部操作事件也可以进行审计监控等操作。

d) 安全测试

• 渗透测试：以攻击者思维，模拟黑客对业务系统进行全面深入安全测试，帮助企业用户挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于黑客发现安全风险。

• 安全众测：借助三方白帽子和阿里巴巴应急中心安全专家资源和能力，为企业客户提供私密的安全众测服务，可帮助企业全面发现业务漏洞及风险，按效果付费。

e) 安全咨询

• 安全管家：安全代为托管服务，为企业客户提供定制的安全防护策略优化、重大活动保障、人工值守等评估和咨询服务，并为客户业务环境进行实时监控检测、加固指导、漏洞管理、应急响应等全方位安全保障工作。

• 等保咨询：联合阿里云在各地的等保咨询合作机构，提供等保2.0 测评的专业咨询，帮助客户更快地完成等保整改和测评工作。

• PCI-DSS 合规咨询：联合产业内有完整PCI 资质的合作伙伴，提供咨询指导、弱点扫描、安全评估等PCI-DSS 合规咨询服务。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

让阿里云的安全监控和运营能力输出到用户的业务层面。

• 用户需要云平台为其提供相应的安全监控和运营能力，使得用户可以做到感知安全态势，监控其云资源的配置安全正确性，对云上日志进行完整的监控。

• 在适宜的情况下针对客户整体业务环境的进行安全测试、响应和咨询服务。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

a) 身份认证

通过凭证信息认证用户的真实身份，通常指通过登录密码或访问密钥AK 来进行认证。

• 账号密码认证：使用主账号或RAM 用户的密码登录阿里云控制台并对云上资源进行操作。

• Access Key（AK）认证：Access Key（AK）是用户调用云服务API 的身份凭证，用于在用户通过API 访问阿里云资源时对用户身份进行认证。AK ID 用于标识用户，AK Secret 用来验证用户身份的合法性。不建议用户为其云账号（即主账号）创建AK 凭证。

• STS 认证：为RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证。

• MFA 认证：在用户名和密码之外再额外增加一层安全保护。启用MFA 后，用户登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自其MFA 设备的可变验证码（第二安全要素），支持基于软件的虚拟MFA 设备。

• SSO 认证：支持基于SAML2.0 的单点登录，支持使用企业自有身份系统的登录服务登录访问阿里云。

• SSH 密钥对：将公钥配置在Linux 实例中，在本地或者另外一个实例中，可以使用私钥通过SSH 命令或相关工具登录之前有公钥配置的实例，而不需要输入密码。

b) 账号管理和访问授权

• 阿里云账号和RAM：用户管理与资源访问权限控制服务，RAM 使得一个阿里主账号可拥有多个独立的子用户（RAM 用户）。

• RAM 用户：云账号下为企业员工、系统或应用程序创建独立的RAM 用户账号。

• RAM 角色：解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移动App 颁发临时授权令牌、进行角色SSO 登录等场景。

• 资源目录（Resource Directory）：面向企业客户提供的一套基于多账号的分级管理服务。

c) 操作审计

• ActionTrail：提供统一的云资源操作日志管理，记录云账号下的用户登录及资源访问操作。

• 堡垒机：集中运维身份鉴别、账号管控、系统操作审计等多种功能，基于协议正向代理实现。

d) 应用管理

• 应用身份服务：集中式身份管理服务，提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统，实现一个账号打通所有应用服务。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

在整体的云上安全架构中，用户的账户安全涵盖了所有层面。

• 云上用户的账户安全主要体现在五个方面，包括身份认证（Authentication）、访问授权（Authorization）、账号管理（Account）、操作审计（Audit）和应用管理（Application），即账户安全中的5A 要素。

• 一个云服务或云产品可能提供了5A 中的多个维度能力。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

对于用户的不同业务场景，阿里云也提供了相对应的安全能力。在业务安全层面，阿里云为用户提供了身份认证、内容检测和业务风控的三个维度的安全功能。

a) 身份验证

• 实人认证：依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进行的自然人真实身份的核验服务。

b) 内容检测

• 内容安全：基于深度学习技术及阿里巴巴多年的海量数据支撑，内容安全服务提供图片、视频，文字等多媒体的内容风险智能识别服务，帮助用户降低色情、暴恐、涉政等违规风险，大幅度降低人工审核成本。

c) 业务风控

• 风险识别：基于大数据、机器学习算法、流式计算等阿里巴巴的业务风控最佳实践，为用户提供从API 服务、到决策引擎平台的一站式智能风控解决方案，解决企业类客户在用户注册、运营活动、交易、信贷审核等关键业务中面临的欺诈问题。

• 爬虫风险管理：有效降低和解决外部恶意自动化工具对用户网站的业务影响，主要防护场景包括航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分等。提供对Web 网页端/H5 页面/APP/API 全方位防护，并通过云端共享海量的威胁情报做到对爬虫类攻击的快速响应。

• 游戏盾：对大流量DDoS 攻击（T 级别）进行有效防御外，还彻底解决游戏行业特有的TCP 协议资源耗尽型攻击（L4-CC 攻击）问题能力。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

用户在阿里云上构建的应用也需要得到安全保护。阿里云为用户提供了应用环境安全、应用配置安全和应用自身保护的三个维度的安全功能。

a) 应用环境安全

• 漏洞扫描：自动发现其网站的关联资产，并进行高效精准的自动化漏洞渗透测试和敏感内容监测，形成专业的风险扫描报告，并提出修复建议。

• 代码托管：云效服务提供了存放源代码等内容的Git 库，并提供了严格的权限控制机制。

• 代码审计：在云产品安全生命周期（SPLC）中，阿里云的安全专家在各个开发节点中都会严格审核和评估代码的安全性，代码审计服务检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞并提供代码修订措施和建议。

• 安全加固：在获得客户授权委托的情况下，远程登录到客户的业务系统服务器上，根据用户的资产情况和安全需求，对其外网或内网主机进行全方位的基线加固和组件升级。

b) 应用配置安全

• ACM 配置加密：利用ACM，用户可以在微服务、DevOps、大数据等场景下极大减轻配置管理的工作量，并增强配置管理的服务能力。ACM 提供了创建加密配置的功能，降低用户配置的泄露风险。

c) 应用保护

• WAF：基于云安全大数据和智能计算能力，通过防御SQL 注入、XSS 跨站脚本、常见Web 服务器插件漏洞、木马上传、非授权核心资源访问等OWASP 常见web攻击，过滤海量恶意访问，避免网站资产数据泄露；AI 深度学习在降低误报率的同时有效地提高了检出率；基于用户业务访问端上的模型收集和大数据分析能力准实时处理高危请求；提供自动报警和全局响应规则的同步下发和升级功能。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

2015 年，阿里云发起了中国云计算服务商首个“数据保护倡议”。

• 运行在云计算平台上的开发者、公司、政府、社会机构的数据，所有权绝对属于客户，云计算平台不得将这些数据移作它用。

• 平台方有责任和义务，帮助客户保障其数据的机密性、完整性和可用性，防止数据泄露，并满足个人信息保护、等保2.0 以及GDPR 等合规要求。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

a) 数据保护

• 数据分类：自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶/文件对象等不同级别数据信息。通过关键字、规则、机器学习模型算法，精准识别云环境内的敏感数据，实现云上数据基于业务内容的分类以及基于敏感程度的分级。

• 数据脱敏：提供Hash、加密、遮盖、替换、洗牌、变换等六大类近30 种内置脱敏算法，脱敏后的数据无需改变相应的业务系统逻辑，保留原有数据特征和分布，确保数据的有效性和可用性。

• 数据防泄露：加强对数据的权限控制的完整度和数据使用中的监控和检测能力。

对云上存储产品和传输产品权限的有效管控，对用户数据的流转和操作过程有全面的监控和检测能力，及时发现数据使用中可能的异常行为。

• 数据完整性：在数据传输和存储层面，提供全链路数据校验功能，定期对存储介质中的数据进行完整性扫描，确保数据传输和存储过程中的数据可靠性需求。

• 数据高可用：多副本、系统备份、故障热迁移、负载均衡、DDoS 防御等多重保护，保证用户在使用数据时的高可用性。

b) 全链路加密

• 传输加密：云产品为用户访问数据提供了SSL/TLS 协议来保证数据传输的安全（阿里云控制台、阿里云产品API 访问点），网关产品提供传输链路的加密功能（VPN 网关、SAG）。

• 存储加密：云产品（EBS、OSS、RDS、OTS、NAS、MaxCompute 等）落盘存储加密，统一使用阿里云密钥管理服务KMS 进行密钥管理。

• 加密计算：Intel SGX 可信执行环境。

• 加密服务：使用经国家密码管理局检测认证的硬件密码机，实现对加密密钥的完全控制和进行加解密操作。

• SSL 证书服务：签发第三方知名CA 证书颁发机构的SSL 证书，实现网站HTTPS化。

c) 密钥管理

• 托管HSM：支持将密钥托管在硬件安全模块HSM 之中，利用HSM 进行密码运算和安全托管等功能。

• 自选密钥：通过在支持的云产品中选择自己创建或上传用户主密钥CMK 到KMS中，并直接管理自选密钥的生命周期。

• 密钥轮转：KMS 支持通过配置的方式对用户主密钥进行自动轮转。自动轮转允许用户主密钥下周期性产生新的密钥版本作为加密密钥。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

用户基础安全就像地基，为上层业务安全提供了坚实的基础。

• 基础安全包括用户使用的最主要的计算资源和连通计算资源的网络方面的安全防护和隔离。

• 云上应用和业务通过上层云服务构建和运行于计算（包括云主机和容器）和网络服务的基础模块之上。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

云平台安全是阿里云作为云平台默认提供的基础安全能力。

• 云平台内部身份与访问控制以及云平台安全监控运营是云平台内部自身的安全管理和运营，客户不直接感知。

• 物理安全、硬件安全和虚拟化安全层面，客户无需任何设置即可享受阿里云本身的高安全等级能力。

• 云产品安全包含了云平台在各个产品中提供的安全能力和安全保障：

ü 部分能力（如租户隔离）是产品本身默认的保障。

ü 部分能力（如数据加密）是产品提供能力的同时需要客户的开启和正确设置。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

阿里云负责

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

客户负责

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

• 基础设施：地域（Region）、可用区（AZ）、阿里ABTN 网络。

• 物理资源：计算、存储、网络。

• 资源抽象和控制：飞天分布式云操作系统、资源虚拟化层。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。