全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
MaxCompute

项目空间的安全配置

更新时间:2017-11-01 02:32:50

MaxCompute 是一个支持多租户的数据处理平台,不同的租户对数据安全需求不尽相同。为了满足不同租户对数据安全的灵活需求,MaxCompute 支持项目空间级别的安全配置,ProjectOwner 可以定制适合自己的外部账号支持和鉴权模型。

MaxCompute 支持多种正交的授权机制,如 ACL 授权、隐式授权(如对象创建者自动被赋予访问对象的权限)。但是并非所有用户都需要使用这些安全机制,您可以根据自己的业务安全需求或使用习惯,合理设置本项目空间的鉴权模型。

  1. show SecurityConfiguration
  2. --查看项目空间的安全配置
  3. set CheckPermissionUsingACL=true/false
  4. --激活/冻结ACL授权机制,默认为true
  5. set ObjectCreatorHasAccessPermission=true/false
  6. --允许/禁止对象创建者默认拥有访问权限,默认为true
  7. set ObjectCreatorHasGrantPermission=true/false
  8. --允许/禁止对象创建者默认拥有授权权限,默认为true
  9. set ProjectProtection=true/false
  10. --开启/关闭项目空间的数据保护机制,禁止/允许数据流出项目空间

注意

您也可以通过大数据开发套件进行可视化操作,完成项目空间的相关安全配置,详情请参见 项目管理

设置项目保护模式

假设 Jack 是项目空间 prj1 的管理员,该项目空间有很多敏感数据,比如用户身份号码和购物记录,而且还有很多具有自主知识产权的数据挖掘算法。Jack 希望能将项目空间中的这些敏感数据和算法保护好,项目的用户只能在项目空间中访问,数据只能在项目空间内流动,不允许流出到项目空间之外。

那么 Jack 需要进行如下操作:

  1. use prj1;
  2. set ProjectProtection=true; --开启项目空间的数据保护机制

一旦当项目空间开启 项目空间的数据保护 机制后,无法将项目空间中的数据转移到项目空间之外,所有的数据只能在项目空间内部流动。

但是在某些情况下,可能由于业务需要,用户Alice需要将某些数据表导出到项目空间之外,并且也经过空间管理员的审核通过。针对这类情况,MaxCompute提供了一种机制来支持受保护项目空间的数据流出,即设置TrustedProject。将prj2设置为prj1的可信项目空间,设置后将允许prj1中的所有数据流出到prj2。

  1. use prj1;
  2. add trustedproject prj2;
本文导读目录