MaxCompute安全和管理

2020-05-09 788

用户与角色

多租户安全体系：

1、用户认证

MaxCompute账号体系
MaxCompute支持云账号和RAM账号两种账号体系
云账号：默认情况下，MaxCompute项目仅能识别阿里云账号系统；
申请阿里云账号-实名认证-创建运行密钥accesskeys
accesskey由两部分组成：accesskeyid和accesskeysecret组成，accesskeyid 用于检索Accesskey，Accesskey用于计算消息签名
查看账号系统命令：
list accountproviders;

RAM账号：RAM（resource access management)是阿里云为客户提供的用户身份管理与资源访问控制服务，通过RAM服务，主账号可以创建、管理用户账号（RAM账号），控制这些用户账号对主账号名下资源具有的操作权限。
从归属关系上看，云账户与RAM用户是一种主子关系。
从权限角度看，云账户与RAM用户是一种root与user的关系（类比Linux系统）。
MaxCompute仅能识别RAM的账号体系，不能识别RAM的权限体系；添加RAM
账号系统命令：
add accountprovider ram;

用户认证：
用户认证检查请求request发送者的真实身份：正确验证消息发送方的真实身份，正确验证接收到的消息在途中是否被篡改。
云账号认证使用消息签名机制，可以保证消息在传输过程中的完整性integrity和真实性authenticity，目前采用的消息签名算法是HMAC-SHA1
LVS负载均衡发送accessid MD5签名-HTTP Server发送accessid MD5签名-云账号服务器返回accountid-HTTP Server
项目空间用户管理：
1、Alice创建一个名为wonderland的项目，自动成为owner；没有Alice授权，其他任何人都无法访问wonderland；
2、Alice要授权Bob允许他访问wonderland的一些对象：首先bob要有一个合法的云账号，然后Alice要把bob的云账号加到项目中，最后赋一些对象的权限给bob。
3、alice要禁止Bob访问项目，则直接将他的云账号从项目中移除即可，前提是bob没有被赋予任何角色。
4、bob虽然被移除了项目，但他之前被赋予的权限仍然保留在项目中。下次一旦他被Alice加入到同一个项目，原有的权限将会被自动激活。
角色管理：角色（role）是一组访问权限的集合。
相比owner，admin角色不能将admin角色赋给别的用户，不能设定项目空间的安全配置，不能修改项目空间的鉴权模型。
角色的限制：admin角色的权限不能被修改；没被使用的角色才可以被删除。

2、项目空间的用户与授权管理

授权三要素：主体subject、客体object、操作action
授权两方法：ACL基于对象的授权；Policy基于策略的授权。
ACL授权客体包括project、table、function、resource、instance。
说明：project类型对象的createtable操作、table类型的select、alter、update、drop操作需要与project对象的create instance操作权限配合使用；当跨项目操作如在项目A里select项目B的table，则需要有项目A的createinstace和项目B的tableselect权限。
ACL授权：
基本语法：
grant on

权限查看：
A：表示allow，即允许访问。
D：表示deny，即拒绝访问。
C：表示with Condition，即为带条件的授权，只出现在policy授权体系中。
G：表示with grant option，即可以对object进行授权
查看指定用户权限：
show grants；查看当前用户自己的访问权限
show grants for ;查看指定用户的访问权限，仅由projectowner和admin才能执行权限。
查看指定角色权限：
describe role；查看指定角色的访问权限角色指派
项目空间的安全配置：鉴权模型配置

用户管理和授权

基于标签的安全管理

基于标签的安全控制

labelsecurity基本操作

LabelSecurity注意事项

应用场景

应用场景2

跨项目空间的资源分享

Package

package是一种跨项目空间共享数据及资源的机制，主要用于解决跨项目空间的用户授权问题。
创建者（资源提供方）+使用者（资源使用者）=Package机制
Package创建者

Package使用者

例子：

项目空间的数据保护

防止数据流出：

项目空间的保护机制

设置ProjectProtection规则：数据只能流入，不能流出
set ProjectProtection=true；
设置后，触犯了ProjectProtection规则的数据流出会被禁止。
默认时，ProjectProtection不会被设置，需要手工开启。

项目空间保护下的合规数据流出

资源分享和数据保护

微信关注我们

原文链接：https://yq.aliyun.com/articles/759545

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

编程模型（MapReduce和Graph）

MapReduce编程模型 MR基础最大优点是充分利用了闲置资源，多任务并行，快速得到答案。拆分-处理-合并 MR框架介绍 MR处理流程 MapReduce（最早由Google提出）是一种分布式数据处理模型；核心过程主要分成2个阶段：Map阶段和Reduce阶段；首先执行Map阶段，再执行Reduce阶段。Map和Reduce阶段的处理逻辑由用户自定义实现，即实现分布式计算。 MR模型的适用场景搜索：网页爬取、倒排索引，PageRankWeb访问日志分析：分析和挖掘用户在web上的访问、购物行为特征，实现个性化推荐；分析用户访问行为。文本统计分析：例如小说的WordCount，词频TFIDF分析；学术论文、专利文献的饮用分析和统计；维基百科数据分析等。海量数据挖掘：非结构数据、时空数据、图像数据的挖掘。机器学习：监督学习、无监督学习、分类算法如决策树、SVM等。自然语言处理：基于大数据的训练和预测；基于语料库构建单词同现矩阵，频繁项数据挖掘、重复文档检测等。广告推荐：用户点击（CTR）和购买行为（CVR）预测 MR框架用户视角看原理用户视角谈实现扩展MR MR开发使用流程 1...

2020-05-09

952

电商网站该如何进行云服务器配置呢？电商云服务器的配置选择，其实和网站或应用的类型、访问量、数据量大小、程序质量等因素有关，建议和您的网站或应用的开发技术人员沟通，选择最适合您的配置。如果您没有技术人员可提供建议，可以参考我们的建议进行配置选择。网站初始阶段访问量小，只需要一台低配置的服务器即可，应用程序、数据库、文件等所有资源均在一台服务器上。阿里云服务器具有强大的弹性扩展和快速开通能力。随着业务的增长，你可以随时在线增加服务器的CPU、内存、硬盘以及带宽等配置，或者增加服务器数量，无需担心低配服务器在业务突增时带来的资源不足问题，不让一个用户流失。方案目的：适合初创电商公司快速搭建平台，例如电商网站/APP/电子商城，能轻松承受约1-10万的日均访问量，能支持约300单/天的有效成单量一键搭建：整体解决方案一键搭建，自动化部署，缩短3倍业务上线时间安全防护：解决方案针对电商行业常遇到的胁，加强了安全防护性能。为电商企业保驾护航高性能：针对电商业务峰值频发的特点，配置了缓存、CDN、弹性伸缩等功能，有效提升平台性能高效容灾：负责均衡、RDS、ECS等都配备了跨可用区容灾策略...

2020-05-10

678

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。