阿里大数据计算服务MaxCompute-安全指南D.docx

大数据计算服务MaxCompute 安全指南 大数据计算服务MaxCompute/安全指南 大数据计算服务MaxCompute/安全指南 PAGE 10 PAGE 10 安全指南 本文档主要面向 MaxCompute 项目空间所有者(Owner)、管理员以及对 MaxCompute 多租户数据安全体系感兴趣的用户。MaxCompute 多租户数据安全体系主要包括如下内容：用户认证、项目空间的用户与授权管理、跨项目空间的资源分享以及项目空间的数据保护。 快速开始 场景描述：Jack是项目空间prj1的管理员，一个新加入的项目组成员Alice(已拥有云账号: alice@)申请加入项目空间prj1， 并申请如下权限：查看Table列表，提交作业，创建表。 use prj1;add user aliyun$alice@; --添加用户 use prj1; add user aliyun$alice@; --添加用户 grant List, CreateTable, CreateInstance on project prj1 to user aliyun$alice@; --使用grant语句对用户授 权 场景描述：Jack是项目空间prj1的管理员，有三个新加入的项目组成员：Alice, Bob, Charlie，他们的角色是数据审查员。 他们要申请如下权限：查看Table列表，提交作业，读取表userprofile。 use prj1;add user aliyun$alice@; --添加用户add user aliyun$bob@;add user aliyun$charlie@; create role tableviewer; --创建角色grant List, use prj1; add user aliyun$alice@; --添加用户add user aliyun$bob@; add user aliyun$charlie@; create role tableviewer; --创建角色 grant List, CreateInstance on project prj1 to role tableviewer; --对角色赋权grant Describe, Select on table userprofile to role tableviewer; grant tableviewer to aliyun$alice@; --对用户赋予角色tableviewer grant tableviewer to aliyun$bob@; grant tableviewer to aliyun$charlie@; 项目空间的数据保护设置 场景描述：Jack是项目空间prj1的管理员。该项目空间有很多敏感数据，比如用户身份号码和购物记录。而且 还有很多具有自主知识产权的数据挖掘算法。Jack希望能将项目空间中的这些敏感数据和算法保护好，项目中 用户只能在项目空间中访问，数据只能在项目空间内流动，不允许流出到项目空间之外。 use prj1;set ProjectProtection=true; --开启项目空间的数据保护机制 use prj1; set ProjectProtection=true; --开启项目空间的数据保护机制 一旦当项目空间开启 项目空间的数据保护 机制后，无法将项目空间中的数据转移到项目空间之外，所有的数据只能在项目空间内部流动。 但是在某些情况下，可能由于业务需要，用户Alice需要将某些数据表导出到项目空间之外，并且也经过空间管 理员的审核通过。针对这类情况，ODPS提供了两种机制来支持受保护项目空间的数据流出。 方法1: 设置ExceptionPolicy。详情请参考 设置ExceptionPolicy 。 {Version: 1, Statement: [{Effect:Allow, { Version: 1, Statement: [{ Effect:Allow, HYPERLINK mailto:ALIYUN%24alice@ Principal:ALIYUN$alice@, Action:[odps:Describe,odps:Select], Resource:acs:odps:*:projects/prj1/tables/t1, Condition:{ StringEquals: { odps:TaskType:SQL } } }] } Step 2: 设置exception policy use prj1; use prj1; --开启项目空间的数据保护机制，并设置数据导出的例外 set ProjectProtection=true with excep