- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
大数据计算服务MaxCompute
安全指南
大数据计算服务MaxCompute/安全指南
大数据计算服务MaxCompute/安全指南
PAGE 10
PAGE 10
安全指南
本文档主要面向 MaxCompute 项目空间所有者(Owner)、管理员以及对 MaxCompute 多租户数据安全体系感兴趣的用户。MaxCompute 多租户数据安全体系主要包括如下内容:用户认证、项目空间的用户与授权管理、跨项目空间的资源分享以及项目空间的数据保护。
快速开始
场景描述:Jack是项目空间prj1的管理员,一个新加入的项目组成员Alice(已拥有云账号: alice@)申请加入项目空间prj1, 并申请如下权限:查看Table列表,提交作业,创建表。
use prj1;add user aliyun$alice@; --添加用户
use prj1;
add user aliyun$alice@; --添加用户
grant List, CreateTable, CreateInstance on project prj1 to user aliyun$alice@; --使用grant语句对用户授
权
场景描述:Jack是项目空间prj1的管理员,有三个新加入的项目组成员:Alice, Bob, Charlie,他们的角色是数据审查员。 他们要申请如下权限:查看Table列表,提交作业,读取表userprofile。
use prj1;add user aliyun$alice@; --添加用户add user aliyun$bob@;add user aliyun$charlie@; create role tableviewer; --创建角色grant List,
use prj1;
add user aliyun$alice@; --添加用户add user aliyun$bob@;
add user aliyun$charlie@; create role tableviewer; --创建角色
grant List, CreateInstance on project prj1 to role tableviewer; --对角色赋权grant Describe, Select on table userprofile to role tableviewer;
grant tableviewer to aliyun$alice@; --对用户赋予角色tableviewer grant tableviewer to aliyun$bob@;
grant tableviewer to aliyun$charlie@;
项目空间的数据保护设置
场景描述:Jack是项目空间prj1的管理员。该项目空间有很多敏感数据,比如用户身份号码和购物记录。而且 还有很多具有自主知识产权的数据挖掘算法。Jack希望能将项目空间中的这些敏感数据和算法保护好,项目中 用户只能在项目空间中访问,数据只能在项目空间内流动,不允许流出到项目空间之外。
use prj1;set ProjectProtection=true; --开启项目空间的数据保护机制
use prj1;
set ProjectProtection=true; --开启项目空间的数据保护机制
一旦当项目空间开启 项目空间的数据保护 机制后,无法将项目空间中的数据转移到项目空间之外,所有的数据只能在项目空间内部流动。
但是在某些情况下,可能由于业务需要,用户Alice需要将某些数据表导出到项目空间之外,并且也经过空间管 理员的审核通过。针对这类情况,ODPS提供了两种机制来支持受保护项目空间的数据流出。
方法1: 设置ExceptionPolicy。详情请参考 设置ExceptionPolicy 。
{Version: 1, Statement: [{Effect:Allow,
{
Version: 1, Statement: [{
Effect:Allow, HYPERLINK mailto:ALIYUN%24alice@ Principal:ALIYUN$alice@, Action:[odps:Describe,odps:Select], Resource:acs:odps:*:projects/prj1/tables/t1, Condition:{
StringEquals: { odps:TaskType:SQL
}
}
}]
}
Step 2: 设置exception policy
use prj1;
use prj1;
--开启项目空间的数据保护机制,并设置数据导出的例外
set ProjectProtection=true with excep
您可能关注的文档
- 阿里大数据计算服务MaxCompute-DataHub服务D.docx
- 阿里大数据计算服务MaxCompute-SQL简介D.docx
- 阿里大数据计算服务MaxCompute-产品简介D.docx
- 阿里大数据计算服务MaxCompute-基本介绍D.docx
- 阿里大数据计算服务MaxCompute-工具指南D.docx
- 阿里大数据计算服务MaxCompute-计量计费D.docx
- 阿里大数据计算服务MaxCompute-流式计算D.docx
- 阿里大数据计算服务MaxCompute-批量数据通道D.docx
- 阿里大数据计算服务MaxCompute-入门指南D.docx
- 阿里绿网-内容检测API-D.docx
文档评论(0)