MaxCompute支援在專案層級為使用者佈建訪問許可等級標籤,為表或表的列設定敏感等級標籤(Label),使用者僅可以訪問MaxCompute專案中敏感等級小於等於自身訪問許可等級的表或列資料。
背景資訊
Label許可權控制即LabelSecurity,是專案層級的一種強制存取控制策略。建立MaxCompute專案後,LabelSecurity預設為關閉狀態。專案所有者(Project Owner)可以在MaxCompute專案的Project層級,執行Set LabelSecurity=true|false;
命令,開啟或關閉LabelSecurity。
如果開啟了LabelSecurity,專案所有者(Project Owner)需要定義明確的表或表的列敏感等級、使用者訪問許可等級劃分標準,並分別為表或表的列、使用者或角色設定敏感等級標籤、訪問許可等級標籤。當使用者訪問設定了敏感等級的資料時,除必須擁有目標表的SELECT許可權外,僅能訪問敏感等級小於等於自身訪問許可等級的表或列資料。
- 最小支援粒度為列層級,即對錶的列設定敏感等級。
- 支援對錶的任何列設定敏感等級標籤。一張表可以由不同敏感等級的列構成。
- 支援對視圖設定敏感等級標籤。視圖的敏感等級標籤和視圖對應的源表的敏感等級標籤是獨立的。
LabelSecurity預設許可權控制策略
- No-ReadUp:不允許使用者訪問敏感等級大於使用者訪問許可等級的資料。如果實際業務涉及此情境,需要執行顯式授權操作。更多顯式授權操作資訊,請參見GRANT LABEL。
- Trusted-User:允許使用者寫不高於使用者訪問許可等級的資料。新建立的表或視圖預設為0級(不保密)。新添加使用者預設為0級。
前提條件
被授權人的帳號或角色名稱,且帳號或角色已添加至MaxCompute專案。阿里雲帳號格式為ALIYUN$<account_id>,RAM使用者帳號格式為 RAM$<account_id>:<RAM使用者UID>,RAM角色帳號格式為`RAM$<account_id>:role/<RAM角色名稱>`。
您可以通過MaxCompute用戶端執行
list users;
或list roles;
命令擷取帳號或角色資訊。- 授權對象表或列的名稱。
您可以通過MaxCompute用戶端執行
show tables;
命令擷取表或視圖名稱、列名稱。
使用限制
不支援對分區列設定敏感性資料等級標籤。
注意事項
- 在一些傳統的強制存取控制系統中,為了防止資料在專案內部被任意分發,通常還支援更多複雜的安全性原則。例如,不允許使用者寫敏感等級不高於使用者訪問許可等級的資料(No-WriteDown)。但在MaxCompute中,考慮到資料敏感等級的管理成本,預設安全性原則並不支援No-WriteDown。如果專案有類似需求,您可以通過
Set ObjectCreatorHasGrantPermission=false;
命令,修改專案安全配置,以達到控制目的。 - 為避免資料在不同專案之間流動,您可以通過
set ProjectProtection=true;
命令,將專案設定為受保護狀態(ProjectProtection)。設定之後,只允許使用者在專案內訪問資料,有效防止資料流出到專案之外。更多專案資料保護資訊,參見資料保護機制。 - 如果刪除了對象,MaxCompute會自動撤銷與該對象關聯的所有Label授權資訊。
當一個使用者被移除後,與該使用者有關的授權仍然會被保留。一旦該使用者以後被再次添加到該專案時,該使用者的歷史授權存取權限將被重新啟用。如果需要徹底清除使用者的許可權資訊,請參見徹底清除被刪除使用者遺留的許可權資訊。
為表或列資料設定敏感等級標籤
由Project Owner或具備Admin角色的使用者為表或表的列設定敏感等級標籤。
- 命令格式
set Label <number> to table <table_name>[(<column_list>)];
- 注意事項
- 如果只是對錶設定了敏感等級標籤,未對列設定敏感等級標籤,則表的所有列的敏感等級都相同且等於對錶設定的標籤。例如對錶設定的敏感等級為2,未設定列的敏感等級,則表的所有列的敏感等級都為2。
- 對列設定的標籤會覆蓋對錶設定的標籤(與等級高低無關),對錶設定的標籤不會覆蓋對列設定的標籤。例如最初為表設定的敏感等級為2,然後對錶的某一列col1設定敏感等級為3,此時表的敏感等級為2,表中col1的敏感等級為3,其他列的敏感等級為2。
- 如果您需要修改對錶或列已設定的敏感等級標籤,重新執行該命令設定新的等級標籤即可。
- 參數說明
參數名稱 是否必填 說明 number 是 指定敏感等級。取值範圍為0~9。數值越大,安全層級越高。 table_name 是 指定目標表或視圖的名稱。 您可以通過MaxCompute用戶端執行
show tables;
命令擷取表或視圖名稱。column_list 否 指定列名。可以指定多個列名,列名之間用英文逗號(,)分隔。
為使用者或角色設定訪問許可等級標籤
由Project Owner或具備Admin角色的使用者為其他使用者或角色設定訪問許可等級標籤。
- 命令格式
set Label <number> to {USER|ROLE} <name>;
- 注意事項
- 為使用者佈建訪問許可等級標籤後,使用者只能訪問敏感層級小於等於訪問許可等級標籤的資料。例如指定使用者的敏感等級為3,則使用者只能訪問敏感等級為0~3的表資料或列資料。
- 如果您需要修改對使用者或角色已設定的敏感等級標籤,重新執行該命令設定新的訪問許可等級標籤即可。
- 參數說明
參數名稱 是否必填 說明 number 是 指定使用者或角色可訪問的最高資料敏感等級。取值範圍為0~9,與資料敏感等級標籤相對應。 name 是 指定使用者或角色的名稱。 您可以通過MaxCompute用戶端執行
list users;
或list roles;
命令擷取使用者帳號或角色名稱。
使用樣本
假設專案test_project_a中存在一張表sale_detail,shop_name、customer_id和total_price為表的列。Bob@aliyun.com是test_project_a的專案所有者。Allen為隸屬於Bob的RAM使用者,已被添加至專案test_project_a中。
- 樣本一:為表sale_detail或表的列設定敏感等級標籤,命令樣本如下。
--Bob進入專案test_project_a。 use test_project_a; --設定表sale_detail的Label為1級。此時表中所有列的敏感等級為1級。 set Label 1 to table sale_detail; --設定sale_detail的shop_name和customer_id兩列的Label為2級。此時其他列的Label仍為1。 set Label 2 to table sale_detail(shop_name, customer_id); --修改表sale_detail的Label為3級。需要注意的是:此時shop_name和customer_id兩列的Label仍為2級,其他列的Label修改為3。 set Label 3 to table sale_detail; --修改表sale_detail的shop_name和customer_id兩列的Label為4級。此時其他列的Label仍為3。 set Label 4 to table sale_detail(shop_name, customer_id); --查看錶的Label資訊。 describe sale_detail; --返回結果如下。 +------------------------------------------------------------------------------------+ | Owner: ALIYUN$****@test.aliyun.com | Project: **** | | TableComment: | +------------------------------------------------------------------------------------+ | CreateTime: 2021-12-13 11:27:04 | | LastDDLTime: 2021-12-13 11:27:04 | | LastModifiedTime: 2021-12-13 11:27:26 | +------------------------------------------------------------------------------------+ | TableLabel: 3 | --表的敏感等級為3。 | MaxLabel: L4 | +------------------------------------------------------------------------------------+ | InternalTable: YES | Size: 784 | +------------------------------------------------------------------------------------+ | Native Columns: | +------------------------------------------------------------------------------------+ | Field | Type | Label | Comment | +------------------------------------------------------------------------------------+ | shop_name | string | 4 | | --列的敏感等級為4。 | customer_id | string | 4 | | --列的敏感等級為4。 | total_price | double | 3 | | --列的敏感等級為3。 +------------------------------------------------------------------------------------+ | Partition Columns: | +------------------------------------------------------------------------------------+ | sale_date | string | | | region | string | | +------------------------------------------------------------------------------------+
- 樣本二:為專案test_project_a中的使用者Kate@aliyun.com及RAM使用者RAM$Bob@aliyun.com:Allen,設定訪問許可等級標籤,命令樣本如下。
--Bob進入專案test_project_a。 use test_project_a; --設定Kate的訪問許可等級標籤為3級,則Kate能訪問敏感等級為0~3級的資料。 set Label 3 to USER ALIYUN$Kate@aliyun.com; --設定RAM使用者Allen的訪問許可等級標籤為1級,則Allen能訪問敏感等級為0~1級的資料。 set Label 1 to USER RAM$Bob@aliyun.com:Allen; --查看Allen的訪問許可等級資訊。 show label grants for RAM$Bob@aliyun.com:Allen; --返回結果如下。 User Label: 1 (granted label list is empty)
相關命令
- GRANT LABEL:由Project Owner或具備Admin角色的使用者為低層級使用者授予訪問高敏感等級資料的許可權。
- REVOKE:由Project Owner或具備Admin角色的使用者撤銷Label顯式授權。
- CLEAR EXPIRED GRANTS:清理到期Label顯式授權許可權。