全部產品
Search
文件中心

MaxCompute:SET LABEL

更新時間:Jun 19, 2024

MaxCompute支援在專案層級為使用者佈建訪問許可等級標籤,為表或表的列設定敏感等級標籤(Label),使用者僅可以訪問MaxCompute專案中敏感等級小於等於自身訪問許可等級的表或列資料。

背景資訊

Label許可權控制即LabelSecurity,是專案層級的一種強制存取控制策略。建立MaxCompute專案後,LabelSecurity預設為關閉狀態。專案所有者(Project Owner)可以在MaxCompute專案的Project層級,執行Set LabelSecurity=true|false;命令,開啟或關閉LabelSecurity。

如果開啟了LabelSecurity,專案所有者(Project Owner)需要定義明確的表或表的列敏感等級、使用者訪問許可等級劃分標準,並分別為表或表的列、使用者或角色設定敏感等級標籤、訪問許可等級標籤。當使用者訪問設定了敏感等級的資料時,除必須擁有目標表的SELECT許可權外,僅能訪問敏感等級小於等於自身訪問許可等級的表或列資料。

LabelSecurity對敏感性資料的支援能力如下:
  • 最小支援粒度為列層級,即對錶的列設定敏感等級。
  • 支援對錶的任何列設定敏感等級標籤。一張表可以由不同敏感等級的列構成。
  • 支援對視圖設定敏感等級標籤。視圖的敏感等級標籤和視圖對應的源表的敏感等級標籤是獨立的。

LabelSecurity預設許可權控制策略

在對錶或列資料、使用者或角色設定標籤之後,基於標籤的預設許可權控制策略如下:
  • No-ReadUp:不允許使用者訪問敏感等級大於使用者訪問許可等級的資料。如果實際業務涉及此情境,需要執行顯式授權操作。更多顯式授權操作資訊,請參見GRANT LABEL
  • Trusted-User:允許使用者寫不高於使用者訪問許可等級的資料。新建立的表或視圖預設為0級(不保密)。新添加使用者預設為0級。

前提條件

使用Label許可權控制方案前,請您確認已記錄好如下資訊:
  • 被授權人的帳號或角色名稱,且帳號或角色已添加至MaxCompute專案。阿里雲帳號格式為ALIYUN$<account_id>,RAM使用者帳號格式為 RAM$<account_id>:<RAM使用者UID>,RAM角色帳號格式為`RAM$<account_id>:role/<RAM角色名稱>`

    您可以通過MaxCompute用戶端執行list users;list roles;命令擷取帳號或角色資訊。

    如果需要新增使用者或角色,請參見使用者規劃與管理角色規劃

  • 授權對象表或列的名稱。

    您可以通過MaxCompute用戶端執行show tables;命令擷取表或視圖名稱、列名稱。

使用限制

不支援對分區列設定敏感性資料等級標籤。

注意事項

使用LabelSecurity的注意事項如下:
  • 在一些傳統的強制存取控制系統中,為了防止資料在專案內部被任意分發,通常還支援更多複雜的安全性原則。例如,不允許使用者寫敏感等級不高於使用者訪問許可等級的資料(No-WriteDown)。但在MaxCompute中,考慮到資料敏感等級的管理成本,預設安全性原則並不支援No-WriteDown。如果專案有類似需求,您可以通過Set ObjectCreatorHasGrantPermission=false;命令,修改專案安全配置,以達到控制目的。
  • 為避免資料在不同專案之間流動,您可以通過set ProjectProtection=true;命令,將專案設定為受保護狀態(ProjectProtection)。設定之後,只允許使用者在專案內訪問資料,有效防止資料流出到專案之外。更多專案資料保護資訊,參見資料保護機制
  • 如果刪除了對象,MaxCompute會自動撤銷與該對象關聯的所有Label授權資訊。
  • 當一個使用者被移除後,與該使用者有關的授權仍然會被保留。一旦該使用者以後被再次添加到該專案時,該使用者的歷史授權存取權限將被重新啟用。如果需要徹底清除使用者的許可權資訊,請參見徹底清除被刪除使用者遺留的許可權資訊

為表或列資料設定敏感等級標籤

由Project Owner或具備Admin角色的使用者為表或表的列設定敏感等級標籤。

  • 命令格式
    set Label <number> to table <table_name>[(<column_list>)];
  • 注意事項
    • 如果只是對錶設定了敏感等級標籤,未對列設定敏感等級標籤,則表的所有列的敏感等級都相同且等於對錶設定的標籤。例如對錶設定的敏感等級為2,未設定列的敏感等級,則表的所有列的敏感等級都為2。
    • 對列設定的標籤會覆蓋對錶設定的標籤(與等級高低無關),對錶設定的標籤不會覆蓋對列設定的標籤。例如最初為表設定的敏感等級為2,然後對錶的某一列col1設定敏感等級為3,此時表的敏感等級為2,表中col1的敏感等級為3,其他列的敏感等級為2。
    • 如果您需要修改對錶或列已設定的敏感等級標籤,重新執行該命令設定新的等級標籤即可。
  • 參數說明
    參數名稱是否必填說明
    number指定敏感等級。取值範圍為0~9。數值越大,安全層級越高。
    table_name指定目標表或視圖的名稱。

    您可以通過MaxCompute用戶端執行show tables;命令擷取表或視圖名稱。

    column_list指定列名。可以指定多個列名,列名之間用英文逗號(,)分隔。

為使用者或角色設定訪問許可等級標籤

由Project Owner或具備Admin角色的使用者為其他使用者或角色設定訪問許可等級標籤。

  • 命令格式
    set Label <number> to {USER|ROLE} <name>;
  • 注意事項
    • 為使用者佈建訪問許可等級標籤後,使用者只能訪問敏感層級小於等於訪問許可等級標籤的資料。例如指定使用者的敏感等級為3,則使用者只能訪問敏感等級為0~3的表資料或列資料。
    • 如果您需要修改對使用者或角色已設定的敏感等級標籤,重新執行該命令設定新的訪問許可等級標籤即可。
  • 參數說明
    參數名稱是否必填說明
    number指定使用者或角色可訪問的最高資料敏感等級。取值範圍為0~9,與資料敏感等級標籤相對應。
    name指定使用者或角色的名稱。

    您可以通過MaxCompute用戶端執行list users;list roles;命令擷取使用者帳號或角色名稱。

使用樣本

假設專案test_project_a中存在一張表sale_detail,shop_name、customer_id和total_price為表的列。Bob@aliyun.com是test_project_a的專案所有者。Allen為隸屬於Bob的RAM使用者,已被添加至專案test_project_a中。

  • 樣本一:為表sale_detail或表的列設定敏感等級標籤,命令樣本如下。
    --Bob進入專案test_project_a。
    use test_project_a;
    --設定表sale_detail的Label為1級。此時表中所有列的敏感等級為1級。
    set Label 1 to table sale_detail; 
    --設定sale_detail的shop_name和customer_id兩列的Label為2級。此時其他列的Label仍為1。
    set Label 2 to table sale_detail(shop_name, customer_id); 
    --修改表sale_detail的Label為3級。需要注意的是:此時shop_name和customer_id兩列的Label仍為2級,其他列的Label修改為3。
    set Label 3 to table sale_detail; 
    --修改表sale_detail的shop_name和customer_id兩列的Label為4級。此時其他列的Label仍為3。
    set Label 4 to table sale_detail(shop_name, customer_id); 
    --查看錶的Label資訊。
    describe sale_detail;
    --返回結果如下。
    +------------------------------------------------------------------------------------+
    | Owner: ALIYUN$****@test.aliyun.com | Project: ****                                 |
    | TableComment:                                                                      |
    +------------------------------------------------------------------------------------+
    | CreateTime:               2021-12-13 11:27:04                                      |
    | LastDDLTime:              2021-12-13 11:27:04                                      |
    | LastModifiedTime:         2021-12-13 11:27:26                                      |
    +------------------------------------------------------------------------------------+
    | TableLabel:               3                                                        |  --表的敏感等級為3。
    | MaxLabel:                 L4                                                       |
    +------------------------------------------------------------------------------------+
    | InternalTable: YES      | Size: 784                                                |
    +------------------------------------------------------------------------------------+
    | Native Columns:                                                                    |
    +------------------------------------------------------------------------------------+
    | Field           | Type       | Label | Comment                                     |
    +------------------------------------------------------------------------------------+
    | shop_name       | string     | 4     |                                             |  --列的敏感等級為4。
    | customer_id     | string     | 4     |                                             |  --列的敏感等級為4。
    | total_price     | double     | 3     |                                             |  --列的敏感等級為3。
    +------------------------------------------------------------------------------------+
    | Partition Columns:                                                                 |
    +------------------------------------------------------------------------------------+
    | sale_date       | string     |                                                     |
    | region          | string     |                                                     |
    +------------------------------------------------------------------------------------+
  • 樣本二:為專案test_project_a中的使用者Kate@aliyun.com及RAM使用者RAM$Bob@aliyun.com:Allen,設定訪問許可等級標籤,命令樣本如下。
    --Bob進入專案test_project_a。
    use test_project_a;
    --設定Kate的訪問許可等級標籤為3級,則Kate能訪問敏感等級為0~3級的資料。 
    set Label 3 to USER ALIYUN$Kate@aliyun.com; 
    --設定RAM使用者Allen的訪問許可等級標籤為1級,則Allen能訪問敏感等級為0~1級的資料。
    set Label 1 to USER RAM$Bob@aliyun.com:Allen; 
    --查看Allen的訪問許可等級資訊。
    show label grants for RAM$Bob@aliyun.com:Allen;
    --返回結果如下。
    User Label: 1
    
    (granted label list is empty)

相關命令

  • GRANT LABEL:由Project Owner或具備Admin角色的使用者為低層級使用者授予訪問高敏感等級資料的許可權。
  • REVOKE:由Project Owner或具備Admin角色的使用者撤銷Label顯式授權。
  • CLEAR EXPIRED GRANTS:清理到期Label顯式授權許可權。