云优惠
 云服务器优惠大全

首页    安全    MaxCompute安全和管理

MaxCompute安全和管理

创建时间:2020-05-11 08:52
浏览量:0
收藏

用户与角色

多租户安全体系:

1、用户认证

MaxCompute账号体系
MaxCompute支持云账号和RAM账号两种账号体系
云账号:默认情况下,MaxCompute项目仅能识别阿里云账号系统;
申请阿里云账号-实名认证-创建运行密钥accesskeys
accesskey由两部分组成:accesskeyid和accesskeysecret组成,accesskeyid 用于检索Accesskey,Accesskey用于计算消息签名
查看账号系统命令:
list accountproviders;

申请阿里云服务器等产品时,可以使用2000元阿里云代金券,阿里云官网领取网址:https://dashi.aliyun.com/site/yun/youhui

RAM账号:RAM(resource access management)是阿里云为客户提供的用户身份管理与资源访问控制服务,通过RAM服务,主账号可以创建、管理用户账号(RAM账号),控制这些用户账号对主账号名下资源具有的操作权限。
从归属关系上看,云账户与RAM用户是一种主子关系。
从权限角度看,云账户与RAM用户是一种root与user的关系(类比Linux系统)。
MaxCompute仅能识别RAM的账号体系,不能识别RAM的权限体系;添加RAM
账号系统命令:
add accountprovider ram;

用户认证:
用户认证检查请求request发送者的真实身份:正确验证消息发送方的真实身份,正确验证接收到的消息在途中是否被篡改。
云账号认证使用消息签名机制,可以保证消息在传输过程中的完整性integrity和真实性authenticity,目前采用的消息签名算法是HMAC-SHA1
LVS负载均衡发送accessid MD5签名-HTTP Server发送accessid MD5签名-云账号服务器返回accountid-HTTP Server
项目空间用户管理:
1、Alice创建一个名为wonderland的项目,自动成为owner;没有Alice授权,其他任何人都无法访问wonderland;
2、Alice要授权Bob允许他访问wonderland的一些对象:首先bob要有一个合法的云账号,然后Alice要把bob的云账号加到项目中,最后赋一些对象的权限给bob。
3、alice要禁止Bob访问项目,则直接将他的云账号从项目中移除即可,前提是bob没有被赋予任何角色。
4、bob虽然被移除了项目,但他之前被赋予的权限仍然保留在项目中。下次一旦他被Alice加入到同一个项目,原有的权限将会被自动激活。
角色管理:角色(role)是一组访问权限的集合。
相比owner,admin角色不能将admin角色赋给别的用户,不能设定项目空间的安全配置,不能修改项目空间的鉴权模型。
角色的限制:admin角色的权限不能被修改;没被使用的角色才可以被删除。

阿里云服务器1核2G低至102元/年,阿里云官活动网址:https://dashi.aliyun.com/site/yun/ecs  

2、项目空间的用户与授权管理

授权三要素:主体subject、客体object、操作action
授权两方法:ACL基于对象的授权;Policy基于策略的授权。
ACL授权客体包括project、table、function、resource、instance。
说明:project类型对象的createtable操作、table类型的select、alter、update、drop操作需要与project对象的create instance操作权限配合使用;当跨项目操作如在项目A里select项目B的table,则需要有项目A的createinstace和项目B的tableselect权限。
ACL授权:
基本语法:
grant on

 

权限查看:
A:表示allow,即允许访问。
D:表示deny,即拒绝访问。
C:表示with Condition,即为带条件的授权,只出现在policy授权体系中。
G:表示with grant option,即可以对object进行授权
查看指定用户权限:
show grants;查看当前用户自己的访问权限
show grants for ;查看指定用户的访问权限,仅由projectowner和admin才能执行权限。
查看指定角色权限:
describe role;查看指定角色的访问权限角色指派
项目空间的安全配置:鉴权模型配置

用户管理和授权

基于标签的安全管理

基于标签的安全控制

labelsecurity基本操作

LabelSecurity注意事项

应用场景

应用场景2

跨项目空间的资源分享

Package

package是一种跨项目空间共享数据及资源的机制,主要用于解决跨项目空间的用户授权问题。
创建者(资源提供方)+使用者(资源使用者)=Package机制
Package创建者

Package使用者

例子:

项目空间的数据保护

防止数据流出:

项目空间的保护机制

设置ProjectProtection规则:数据只能流入,不能流出
set ProjectProtection=true;
设置后,触犯了ProjectProtection规则的数据流出会被禁止。
默认时,ProjectProtection不会被设置,需要手工开启。

项目空间保护下的合规数据流出

资源分享和数据保护

image

免费领取阿里云1888元代金券大礼包

 

阿里云新老用户均可领取!
自领取后:限时7天使用!

阿里云服务器2折优惠:低至293元/年

 

 

突发性能实例t5 1核1G:293元/年

突发性能实例t5 1核2G:459元/年

突发性能实例t5 2核4G:798元/年

共享型xn4实例1核1G内存:394元/年

共享型n4实例1核2G内存:653元/年

计算网络增强型实例2核4G内存:1566元/年

计算网络增强型实例4核8G内存:2991元/年

点此查看2折活动详情

阿里云高性能云服务器

 

 

网络增强型云服务器:2核4G ¥720元/年

高频应用云服务器:8核16G ¥4109元/年

本地SSD型云服务器:4核16G ¥6218.40元/年

大数据型云服务器:8核32G ¥11375.00元/年

GPU异构云服务器:16核40G ¥15563.00元/年

新用户满立减:每满1000立减50

 

1、到阿里云官网选购产品
2、加入到购物车
3、结算时立享满减

注意:新用户首次购买时必须先加到购物车,然后一起结算才享受此优惠。

腾讯云CVM云服务器22.07元起

 

 

腾讯云1核1G:22.07元/月、794.73元/3年

腾讯云2核2G:36.48元/月、1313.35元/3年

腾讯云2核4G:43.01元/月、1548.5元/3年

腾讯云4核8G:178.5元/月、6426元/3年