返回
阿里大数据计算服务MaxCompute-安全指南D

阿里大数据计算服务MaxCompute-安全指南D

ID:35885601

大小:142.72 KB

页数:13页

时间:2019-04-22

阿里大数据计算服务MaxCompute-安全指南D_第1页
阿里大数据计算服务MaxCompute-安全指南D_第2页
阿里大数据计算服务MaxCompute-安全指南D_第3页
阿里大数据计算服务MaxCompute-安全指南D_第4页
阿里大数据计算服务MaxCompute-安全指南D_第5页
资源描述:

《阿里大数据计算服务MaxCompute-安全指南D》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、大数据计算服务MaxCompute安全指南大数据计算服务MaxCompute/安全指南安全指南本文档主要面向MaxCompute项目空间所有者(Owner)、管理员以及对MaxCompute多租户数据安全体系感兴趣的用户。MaxCompute多租户数据安全体系主要包括如下内容:用户认证、项目空间的用户与授权管理、跨项目空间的资源分享以及项目空间的数据保护。快速开始场景描述:Jack是项目空间prj1的管理员,一个新加入的项目组成员Alice(已拥有云账号:alice@aliyun.com)申请加入项目空间prj1,并申请

2、如下权限:查看Table列表,提交作业,创建表。useprj1;adduseraliyun$alice@aliyun.com;--添加用户grantList,CreateTable,CreateInstanceonprojectprj1touseraliyun$alice@aliyun.com;--使用grant语句对用户授权操作步骤:(由项目空间管理员来操作)场景描述:Jack是项目空间prj1的管理员,有三个新加入的项目组成员:Alice,Bob,Charlie,他们的角色是数据审查员。他们要申请如下权限:查看Tab

3、le列表,提交作业,读取表userprofile。useprj1;adduseraliyun$alice@aliyun.com;--添加用户adduseraliyun$bob@aliyun.com;adduseraliyun$charlie@aliyun.com;createroletableviewer;--创建角色grantList,CreateInstanceonprojectprj1toroletableviewer;--对角色赋权grantDescribe,Selectontableuserprofiletor

4、oletableviewer;granttableviewertoaliyun$alice@aliyun.com;--对用户赋予角色tableviewergranttableviewertoaliyun$bob@aliyun.com;granttableviewertoaliyun$charlie@aliyun.com;对于这个场景的授权,项目空间管理员可以使用基于对象的ACL授权机制来完成。操作方法:12大数据计算服务MaxCompute/安全指南项目空间的数据保护设置场景描述:Jack是项目空间prj1的管理员。该项

5、目空间有很多敏感数据,比如用户身份号码和购物记录。而且还有很多具有自主知识产权的数据挖掘算法。Jack希望能将项目空间中的这些敏感数据和算法保护好,项目中用户只能在项目空间中访问,数据只能在项目空间内流动,不允许流出到项目空间之外。useprj1;setProjectProtection=true;--开启项目空间的数据保护机制操作方法:Jack需要如下操作:一旦当项目空间开启项目空间的数据保护机制后,无法将项目空间中的数据转移到项目空间之外,所有的数据只能在项目空间内部流动。但是在某些情况下,可能由于业务需要,用户Al

6、ice需要将某些数据表导出到项目空间之外,并且也经过空间管理员的审核通过。针对这类情况,ODPS提供了两种机制来支持受保护项目空间的数据流出。方法1:设置ExceptionPolicy。详情请参考设置ExceptionPolicy。{"Version":"1","Statement":[{"Effect":"Allow","Principal":"ALIYUN$alice@aliyun.com","Action":["odps:Describe","odps:Select"],"Resource":"acs:odps:*

7、:projects/prj1/tables/t1","Condition":{"StringEquals":{"odps:TaskType":"SQL"}}}]}Step1:创建Policy文件。比如创建一个/tmp/exception_policy.txt,它只允许Alice使用SQL任务将表t1从项目空间prj1导出。policy内容如下:Step2:设置exceptionpolicyuseprj1;--开启项目空间的数据保护机制,并设置数据导出的例外setProjectProtection=truewithexce

8、ption/tmp/exception_policy.txt;useprj1;方法2:设置TrustedProject。将prj2设置为prj1的可信项目空间,设置后将允许prj1中的所有数据流出到prj2。详情请参考设置TrustedProject。12大数据计算服务MaxCompute/安全指南addtruste

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。