摘要: MaxCompute 是一個支持多租戶的統一大數據處理平臺,不同的用戶對數據安全需求不盡相同。爲了滿足不同租戶對數據安全的靈活需求,MaxCompute 支持項目空間級別的安全配置,ProjectOwner 可以定製適合自己的外部賬號支持和鑑權模型並且在某種程度上保障Project的數據安全。
MaxCompute 是一個支持多租戶的統一大數據處理平臺,不同的用戶對數據安全需求不盡相同。爲了滿足不同租戶對數據安全的靈活需求,MaxCompute 支持項目空間級別的安全配置,ProjectOwner 可以定製適合自己的外部賬號支持和鑑權模型並且在某種程度上保障Project的數據安全。
通常情況下,常見的開發模式爲MaxCompute+DataWorks方式,針對這種場景下數據安全方案如下:
一、禁止數據下載到本地
禁止數據流出或下載本地
方式①:
數據保護機制也被稱之爲開啓項目空間數據保護,可以通過MaxCompute console 開啓服務端禁止數據流出:
set projectProtection=true
--設置ProjectProtection規則:數據只能流入,不能流出。
--默認時,ProjectProtection不會被設置,值爲false。
方式②:
那麼更多開發者通過DataWorks進行數據分析,通常會屏顯在IDE上並且可以下載結果,這種可以通過項目管理 > 項目配置中打開“在本項目中能下載select結果”,具體如下:
那麼這種情況下,在DataWorks查詢結果頁面就不可以通過“下載”按鈕進行下載數據到本地。
開啓數據保護機制後的數據流出方法
在您的Project被設置了ProjectProtection之後,您可能很快就會遇到這樣的需求:user1向您提出申請,她的確需要將某張表的數據導出您的項目空間。
而且經過您的審查之後,那張表也的確沒有泄漏您關心的敏感數據。爲了不影響user1的正常業務需要,MaxCompute爲您提供了在ProjectProtection被設置之後的兩種數據導出途徑。
方式①:
ProjectOwner設置ExceptionPolicy,針對已經開啓項目數據保護的進行開例外。具體方式如下(需要通過MaxCompute console操作):
SET ProjectProtection=true WITH EXCEPTION <policyFile>
這種policy不同於Policy授權(儘管它與Policy授權語法完全一樣),它只是對項目空間保護機制的例外情況的一種描述,即所有符合policy中所描述的訪問情形都可以打破ProjectProtection規則。>>>policy詳細文檔
{
"Version": "1",[{
"Effect":"Allow",
"Principal":"[email protected]",
br/>"Statement":
[{
"Effect":"Allow",
"Principal":"[email protected]",
"Action":["odps:Select"],
"Resource":"acs:odps:*:projects/alipay/tables/table_test",
"Condition":{
"StringEquals": {
"odps:TaskType":["DT", "SQL"]
}
}
}]
}
ProjectProtection是一種數據流向的控制,而不是訪問控制。只有在用戶能訪問數據的前提下,控制數據流向纔是有意義的。
*** 另外,可以通過show grants [for <username>] [on type <objectType>] 查看某用戶權限,查看是否加例外成功。
方法②:
設置TrustedProject,若當前項目空間處於受保護狀態,如果將數據流出的目標空間設置爲當前空間的TrustedProject,那麼向目標項目空間的數據流向將不會被視爲觸犯ProjectProtection規則。可以通過如下命令方式進行設置(需通過MaxCompute console進行):
list trustedprojects;
--查看當前project中的所有TrustedProjects
add trustedproject <projectname>;
--在當前project中添加一個TrustedProject
remove trustedproject <projectname>;
--在當前project中移除一個TrustedProject
二、IP白名單控制
MaxCompute支持Project級別的IP白名單。
設置IP白名單後,只有白名單列表中的IP(console或者SDK所在的出口IP)能夠訪問這個Project。
設置IP白名單後,您需要等待五分鐘後纔會生效。
切記在設置白名單的時候,加上自己當前機器IP,以免把自己屏蔽。
setproject odps.security.ip.whitelist=101.132.236.134,100.116.0.0/16,101.132.236.134-101.132.236.144;
白名單中IP列表的表示格式有三種。
單純IP:例如101.132.236.134。
子網掩碼:100.116.0.0/16。
網段:101.132.236.134-101.132.236.144。
具體詳細教程可以參考,>>>>IP白名單控制。
更精細化的管理
當然MaxCompute Policy機制也可以實現控制某個用戶/或者角色的用戶從具體IP地址來訪問具體資源(表、UDF、資源)等。
Policy樣例:
{
"Version": "1",[{
"Effect":"Allow",
"Principal":"[email protected]",
br/>"Statement":
[{
"Effect":"Allow",
"Principal":"[email protected]",
"Action":["odps:CreateTable","odps:CreateInstance","odps:List"],
"Resource":"acs:odps::projects/prj1",
"Condition":{
"DateLessThan": {
"acs:CurrentTime":"2013-11-11T23:59:59Z"
},
"IpAddress": {}
}
},
{
"Effect":"Deny",
"Principal":"[email protected]",
br/>"acs:SourceIp":"10.32.180.0/23"
}
}
},
{
"Effect":"Deny",
"Principal":"[email protected]",
"Action":"odps:Drop",
"Resource":"acs:odps::projects/prj1/tables/*"
}]
}
授權用戶[email protected]只能在"2013-11-11T23:59:59Z"這個時間點之前、只能從“10.32.180.0/23”這個IP段提交請求, 只允許在項目空間prj1中執行CreateInstance, CreateTable和 List操作,禁止刪除prj1下的任何table。具體可以參考Policy文檔。
三、數據保護傘(數據脫敏)
數據保護傘爲DataWorks的一個數據安全模塊,具體可以通過點擊進入進行了解,其包括數據脫敏、安全審計等。https://help.aliyun.com/document_detail/86320.html
可以針對敏感數據在DataWorks屏顯進行加**顯示,如下圖所示:
注意:數據保護傘是DataWorks的一個模塊,如果使用了數據保護傘且進行了數據脫敏,但是通過console進行tunnel download還是未脫敏狀態。
四、細粒度的權限管控
1、列級別LabelSecurity訪問控制
項目空間中的LabelSecurity安全機制默認是關閉的,ProjectOwner可以自行開啓。
【應用場景】
場景說明:user_profile是某項目空間中的一張含有敏感數據的表,它包含有100列,其中有5列包含敏感數據:id_card, credit_card, mobile, user_addr, birthday. 當前的DAC機制中已經授權了所有用戶對該表的Select操作。ProjectOwner希望除了Admin之外,所有用戶都不允許訪問那5列敏感數據。
ProjectOwner操作步驟如下:
set LabelSecurity=true;
--開啓LabelSecurity機制
set label 2 to table user_profile(mobile, user_addr, birthday);
--將指定列的敏感等級設置爲2
set label 3 to table user_profile(id_card, credit_card);
--將指定列的敏感等級設置爲3
Alice是項目空間中的一員,由於業務需要,她要申請訪問user_profile的mobile列的數據,需要訪問1周時間。項目空間管理員操作步驟如下:
GRANT LABEL 2 ON TABLE user_profile TO USER alice WITH EXP 7;
更多關於列級別安全控制文檔:https://help.aliyun.com/document_detail/34604.html
2、Role Policy管理自定義Role
很多用戶會因爲DataWorks內置的數據開發、運維、管理員等角色不能滿足其個性化需求,會基於ACL創建符合自己業務邏輯的角色如數據分析師、ETL開發等,基於這些role如何進行復雜的授權,如批量授予ods_開頭的表權限,但限制條件的,以及Deny類型的角色,這個時候就需要結合Role policy來精細化管理。
一次操作對一組對象進行授權,如所有的函數、所有以”taobao”開頭的表。
帶限制條件的授權,如授權只會在指定的時段內纔會生效、當請求者從指定的IP地址發起請求時授權纔會生效、或者只允許用戶使用SQL(而不允許其它類型的Task)來訪問某張表。
方式①:
Policy操作代碼如下所示:
get policy --讀取項目空間的Policy
put policy <policyFile> --設置(覆蓋)項目空間的Policy
get policy on role <roleName> --讀取項目空間中某個角色的Policy
put policy <policyFile> on role <roleName> --設置(覆蓋)項目空間中某個角色的Policy
更多關於Policy的介紹以及操作詳見文檔:http://www.aiwanba.net/plugin/odps-doc/prddoc/odps_security/odps_sec_authorization_dac.html
方式②:
通過DataWorks-項目管理-MaxCompute配置-自定義用戶角色中進行。
創建步驟:
【新增角色】點擊新建角色,填寫角色名稱,勾選需要加入該角色的賬號(子賬號用戶)。
【角色授權】包括兩種一個是表一個是項目。以表爲例:
選擇需要授權的表,並賦予相應的操作權限,如下所示針對具體表賦予具體權限。
說明:上述兩種方式最大的區別就是,role policy可以進行批量表授權,如以taobao_開頭的。但是DataWorks大的方式需要逐個表來進行篩選並配置權限。
四、JDBC 2.4(數據安全加固)
MaxCompute JDBC 2.4針對數據安全加固做了一定的挑戰,具體JDBC地址:https://github.com/aliyun/aliyun-odps-jdbc/releases
在JDBC中使用數據安全加固方案具體步驟:
下載JDBC 2.4(建議)
配置jdbc url,通常如下制定Tunnel endpoint地址,如 jdbc:odps:http://service.cn.maxcompute.aliyun-inc.com/api?tunnelEndpoint=http://dt.cn-shanghai.maxcompute.aliyun-inc.com。
具體region對應的MaxCompute Endpoint和Tunnel Endpoint可以參考文檔:https://help.aliyun.com/document_detail/34951.html
開啓項目保護SET ProjectProtection=true,不需要加exception例外,具體可以想見項目保護機制章節。
打開控制返回數據條數:setproject READ_TABLE_MAX_ROW=1000;
基於JDBC的工具進行查詢,數據返回條數會控制在1000條以內。
說明:如果使用的版本小於JDBC 2.4,並且開啓了項目保護那麼通過JDBC方式會直接報錯(無權限)。
本文爲雲棲社區原創內容,未經允許不得轉載。