MaxCompute 是一個(gè)支持多租戶的統(tǒng)一大數(shù)據(jù)處理平臺(tái),不同的用戶對(duì)數(shù)據(jù)安全需求不盡相同。為了滿足不同租戶對(duì)數(shù)據(jù)安全的靈活需求,MaxCompute 支持項(xiàng)目空間級(jí)別的安全配置,ProjectOwner 可以定制適合自己的外部賬號(hào)支持和鑒權(quán)模型并且在某種程度上保障Project的數(shù)據(jù)安全。
通常情況下,常見(jiàn)的開(kāi)發(fā)模式為_(kāi)_MaxCompute+DataWorks__方式,針對(duì)這種場(chǎng)景下數(shù)據(jù)安全方案如下:
一、禁止數(shù)據(jù)下載到本地
禁止數(shù)據(jù)流出或下載本地
方式①:
數(shù)據(jù)保護(hù)機(jī)制也被稱之為開(kāi)啟項(xiàng)目空間數(shù)據(jù)保護(hù),可以通過(guò)MaxCompute console 開(kāi)啟服務(wù)端禁止數(shù)據(jù)流出:
方式②:
那么更多開(kāi)發(fā)者通過(guò)DataWorks進(jìn)行數(shù)據(jù)分析,通常會(huì)屏顯在IDE上并且可以下載結(jié)果,這種可以通過(guò)項(xiàng)目管理 》 項(xiàng)目配置中打開(kāi)“在本項(xiàng)目中能下載select結(jié)果”,具體如下:
那么這種情況下,在DataWorks查詢結(jié)果頁(yè)面就不可以通過(guò)“下載”按鈕進(jìn)行下載數(shù)據(jù)到本地。
開(kāi)啟數(shù)據(jù)保護(hù)機(jī)制后的數(shù)據(jù)流出方法
在您的Project被設(shè)置了ProjectProtection之后,您可能很快就會(huì)遇到這樣的需求:user1向您提出申請(qǐng),她的確需要將某張表的數(shù)據(jù)導(dǎo)出您的項(xiàng)目空間。
而且經(jīng)過(guò)您的審查之后,那張表也的確沒(méi)有泄漏您關(guān)心的敏感數(shù)據(jù)。為了不影響user1的正常業(yè)務(wù)需要,MaxCompute為您提供了在ProjectProtection被設(shè)置之后的兩種數(shù)據(jù)導(dǎo)出途徑。
方式①:
ProjectOwner設(shè)置ExceptionPolicy,針對(duì)已經(jīng)開(kāi)啟項(xiàng)目數(shù)據(jù)保護(hù)的進(jìn)行開(kāi)例外。具體方式如下(需要通過(guò)MaxCompute console操作):
SET ProjectProtection=true WITH EXCEPTION 《policyFile》
這種policy不同于Policy授權(quán)(盡管它與Policy授權(quán)語(yǔ)法完全一樣),它只是對(duì)項(xiàng)目空間保護(hù)機(jī)制的例外情況的一種描述,即所有符合policy中所描述的訪問(wèn)情形都可以打破ProjectProtection規(guī)則?!贰贰穚olicy詳細(xì)文檔
ProjectProtection是一種數(shù)據(jù)流向的控制,而不是訪問(wèn)控制。只有在用戶能訪問(wèn)數(shù)據(jù)的前提下,控制數(shù)據(jù)流向才是有意義的。
*** 另外,可以通過(guò)show grants [for 《username》] [on type 《objectType》] 查看某用戶權(quán)限,查看是否加例外成功。
方法②:
設(shè)置TrustedProject,若當(dāng)前項(xiàng)目空間處于受保護(hù)狀態(tài),如果將數(shù)據(jù)流出的目標(biāo)空間設(shè)置為當(dāng)前空間的TrustedProject,那么向目標(biāo)項(xiàng)目空間的數(shù)據(jù)流向?qū)⒉粫?huì)被視為觸犯ProjectProtection規(guī)則??梢酝ㄟ^(guò)如下命令方式進(jìn)行設(shè)置(需通過(guò)MaxCompute console進(jìn)行):
二、IP白名單控制
MaxCompute支持Project級(jí)別的IP白名單。
設(shè)置IP白名單后,只有白名單列表中的IP(console或者SDK所在的出口IP)能夠訪問(wèn)這個(gè)Project。
設(shè)置IP白名單后,您需要等待五分鐘后才會(huì)生效。
切記在設(shè)置白名單的時(shí)候,加上自己當(dāng)前機(jī)器IP,以免把自己屏蔽。
setproject odps.security.ip.whitelist=101.132.236.134,100.116.0.0/16,101.132.236.134-101.132.236.144;
白名單中IP列表的表示格式有三種。
單純IP:例如101.132.236.134。
子網(wǎng)掩碼:100.116.0.0/16。
網(wǎng)段:101.132.236.134-101.132.236.144。
具體詳細(xì)教程可以參考,》》》》IP白名單控制。
更精細(xì)化的管理
當(dāng)然MaxCompute Policy機(jī)制也可以實(shí)現(xiàn)控制某個(gè)用戶/或者角色的用戶從具體IP地址來(lái)訪問(wèn)具體資源(表、UDF、資源)等。
Policy樣例:
授權(quán)用戶alice@aliyun.com只能在“2013-11-11T23:59:59Z”這個(gè)時(shí)間點(diǎn)之前、只能從“10.32.180.0/23”這個(gè)IP段提交請(qǐng)求, 只允許在項(xiàng)目空間prj1中執(zhí)行CreateInstance, CreateTable和 List操作,禁止刪除prj1下的任何table。具體可以參考Policy文檔。
三、數(shù)據(jù)保護(hù)傘(數(shù)據(jù)脫敏)
數(shù)據(jù)保護(hù)傘為DataWorks的一個(gè)數(shù)據(jù)安全模塊,具體可以通過(guò)點(diǎn)擊進(jìn)入進(jìn)行了解,其包括數(shù)據(jù)脫敏、安全審計(jì)等。https://help.aliyun.com/document_detail/86320.html
可以針對(duì)敏感數(shù)據(jù)在DataWorks屏顯進(jìn)行加**顯示,如下圖所示:
注意:數(shù)據(jù)保護(hù)傘是DataWorks的一個(gè)模塊,如果使用了數(shù)據(jù)保護(hù)傘且進(jìn)行了數(shù)據(jù)脫敏,但是通過(guò)console進(jìn)行tunnel download還是未脫敏狀態(tài)。
四、細(xì)粒度的權(quán)限管控
1、列級(jí)別LabelSecurity訪問(wèn)控制
項(xiàng)目空間中的LabelSecurity安全機(jī)制默認(rèn)是關(guān)閉的,ProjectOwner可以自行開(kāi)啟。
【應(yīng)用場(chǎng)景】
場(chǎng)景說(shuō)明:user_profile是某項(xiàng)目空間中的一張含有敏感數(shù)據(jù)的表,它包含有100列,其中有5列包含敏感數(shù)據(jù):id_card, credit_card, mobile, user_addr, birthday. 當(dāng)前的DAC機(jī)制中已經(jīng)授權(quán)了所有用戶對(duì)該表的Select操作。ProjectOwner希望除了Admin之外,所有用戶都不允許訪問(wèn)那5列敏感數(shù)據(jù)。
ProjectOwner操作步驟如下:
Alice是項(xiàng)目空間中的一員,由于業(yè)務(wù)需要,她要申請(qǐng)?jiān)L問(wèn)user_profile的mobile列的數(shù)據(jù),需要訪問(wèn)1周時(shí)間。項(xiàng)目空間管理員操作步驟如下:
GRANT LABEL 2 ON TABLE user_profile TO USER alice WITH EXP 7;
更多關(guān)于列級(jí)別安全控制文檔:https://help.aliyun.com/document_detail/34604.html
2、Role Policy管理自定義Role
很多用戶會(huì)因?yàn)镈ataWorks內(nèi)置的數(shù)據(jù)開(kāi)發(fā)、運(yùn)維、管理員等角色不能滿足其個(gè)性化需求,會(huì)基于ACL創(chuàng)建符合自己業(yè)務(wù)邏輯的角色如數(shù)據(jù)分析師、ETL開(kāi)發(fā)等,基于這些role如何進(jìn)行復(fù)雜的授權(quán),如批量授予ods_開(kāi)頭的表權(quán)限,但限制條件的,以及Deny類型的角色,這個(gè)時(shí)候就需要結(jié)合Role policy來(lái)精細(xì)化管理。
一次操作對(duì)一組對(duì)象進(jìn)行授權(quán),如所有的函數(shù)、所有以”taobao”開(kāi)頭的表。
帶限制條件的授權(quán),如授權(quán)只會(huì)在指定的時(shí)段內(nèi)才會(huì)生效、當(dāng)請(qǐng)求者從指定的IP地址發(fā)起請(qǐng)求時(shí)授權(quán)才會(huì)生效、或者只允許用戶使用SQL(而不允許其它類型的Task)來(lái)訪問(wèn)某張表。
方式①:
Policy操作代碼如下所示:
更多關(guān)于Policy的介紹以及操作詳見(jiàn)文檔:http://www.aiwanba.net/plugin/odps-doc/prddoc/odps_security/odps_sec_authorization_dac.html
方式②:
通過(guò)DataWorks-項(xiàng)目管理-MaxCompute配置-自定義用戶角色中進(jìn)行。
創(chuàng)建步驟:
【新增角色】點(diǎn)擊新建角色,填寫(xiě)角色名稱,勾選需要加入該角色的賬號(hào)(子賬號(hào)用戶)。
【角色授權(quán)】包括兩種一個(gè)是表一個(gè)是項(xiàng)目。以表為例:
選擇需要授權(quán)的表,并賦予相應(yīng)的操作權(quán)限,如下所示針對(duì)具體表賦予具體權(quán)限。
說(shuō)明:上述兩種方式最大的區(qū)別就是,role policy可以進(jìn)行批量表授權(quán),如以taobao_開(kāi)頭的。但是DataWorks大的方式需要逐個(gè)表來(lái)進(jìn)行篩選并配置權(quán)限。
四、JDBC 2.4(數(shù)據(jù)安全加固)
MaxCompute JDBC 2.4針對(duì)數(shù)據(jù)安全加固做了一定的挑戰(zhàn),具體JDBC地址:https://github.com/aliyun/aliyun-odps-jdbc/releases
在JDBC中使用數(shù)據(jù)安全加固方案具體步驟:
下載JDBC 2.4(建議)
配置jdbc url,通常如下制定Tunnel endpoint地址,如 jdbc:odps:http://service.cn.maxcompute.aliyun-inc.com/api?tunnelEndpoint=http://dt.cn-shanghai.maxcompute.aliyun-inc.com。
具體region對(duì)應(yīng)的MaxCompute Endpoint和Tunnel Endpoint可以參考文檔:https://help.aliyun.com/document_detail/34951.html
開(kāi)啟項(xiàng)目保護(hù)SET ProjectProtection=true,不需要加exception例外,具體可以想見(jiàn)項(xiàng)目保護(hù)機(jī)制章節(jié)。
打開(kāi)控制返回?cái)?shù)據(jù)條數(shù):setproject READ_TABLE_MAX_ROW=1000;
基于JDBC的工具進(jìn)行查詢,數(shù)據(jù)返回條數(shù)會(huì)控制在1000條以內(nèi)。
說(shuō)明:如果使用的版本小于JDBC 2.4,并且開(kāi)啟了項(xiàng)目保護(hù)那么通過(guò)JDBC方式會(huì)直接報(bào)錯(cuò)(無(wú)權(quán)限)。
作者:云棲社區(qū) 祎休
-
數(shù)據(jù)庫(kù)
+關(guān)注
關(guān)注
7文章
3712瀏覽量
64028 -
大數(shù)據(jù)
+關(guān)注
關(guān)注
64文章
8805瀏覽量
136995
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論