云服务器内容精选
-
访问控制配置概述 访问控制模块主要实现对访问者身份进行识别和过滤,限制部分用户访问,提高CDN的安全性,配置项包括referer防盗链、IP黑白名单、UA黑白名单、URL鉴权、远程鉴权、IP访问限频。 修改访问控制相关配置需要加速 域名 处于“已开启”或“配置中”状态,并且未被CDN锁定、禁用。 由于IP归属为运营商且不定期调整,华为云虽会定期更新IP地址库,也可能存在更新滞后的情况。因此可能导致部分访问控制功能偶尔误拦截或放行、客户端请求未调度到最佳节点等情况发生。 功能 说明 防盗链配置 配置referer黑白名单,通过设置的过滤策略,对访问者身份进行识别和过滤,实现限制访问来源的目的。 IP黑白名单配置 配置IP黑白名单,通过设置过滤策略,对用户请求IP地址进行过滤,从而限制访问来源。 配置User-Agent黑白名单 当您的网站需要对用户请求使用的代理过滤,从而限制访问来源时,可以在此项中进行配置。 URL鉴权 配置URL鉴权功能,通过保护用户站点资源,防止资源被用户恶意下载盗用。 配置远程鉴权 当您想要CDN将用户请求转发到指定的鉴权服务器来完成鉴权,从而防止资源被用户恶意下载盗用时,可以在此项中进行配置。 配置IP访问限频 如果您想要通过限制单IP的单URL每秒访问单个节点的次数,实现CC攻击防御及防恶意盗刷防护,可以通过配置IP访问限频实现。 父主题: 访问控制
-
步骤三:修改客户端配置文件 替换证书后,需要在客户端的“consumer.properties”和“producer.properties”文件中,分别修改“ssl.truststore.location”和“ssl.truststore.password”参数。 security.protocol=SASL_SSL ssl.truststore.location=/opt/kafka_2.12-2.7.2/config/client.truststore.jks ssl.truststore.password=dms@kafka ssl.endpoint.identification.algorithm= ssl.truststore.location配置为client.truststore.jks证书的存放路径。 ssl.truststore.password为客户端证书的Truststore密码。 ssl.endpoint.identification.algorithm为证书域名校验开关,为空则表示关闭。这里需要保持关闭状态,必须设置为空。
-
开启或关闭SSL 登录分布式缓存服务管理控制台。 在管理控制台左上角单击,选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 在“缓存管理”页面,单击需要执行操作的缓存实例名称。 单击左侧菜单栏的“SSL设置”,进入SSL设置页面。 单击“SSL证书”后的,可以开启或关闭SSL。 开通或关闭SSL将会重启您的实例。实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。 重启操作无法撤销,单机实例及其他关闭了AOF持久化(参数配置appendonly为no)的实例,数据将清空,实例正在执行的备份任务会被停止,请谨慎操作。 开启SSL后,实例的读写性能会有所下降。 开启SSL功能后,单击“下载证书”,下载SSL证书。 解压SSL证书,将解压后的“ca.crt”文件上传到Redis客户端所在的服务器上。 在连接实例的命令中配置“ca.crt”文件所在的路径。例如,使用redis-cli连接实例时,请参考使用redis-cli连接Redis实例。
-
身份认证 用户访问云数据库 GaussDB 时支持对数据库用户进行身份验证,包含密码验证和 IAM 验证两种方式。 密码验证 您需要对数据库实例进行管理,使用数据管理服务(Data Admin Service)登录数据库时,需要对账号密码进行验证,验证成功后方可进行操作。 IAM验证 您可以使用 统一身份认证 服务(Identity and Access Management, IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。您创建的IAM用户,需要通过验证用户和密码才可以使用GaussDB资源。具体请参见创建IAM用户并登录。
-
访问控制 权限控制 购买实例之后,您可以使用IAM为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过IAM进行精细的权限管理。具体内容请参见权限管理。 VPC和子网 虚拟私有云(Virtual Private Cloud, VPC)为云数据库构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。 子网提供与其他网络隔离的、可以独享的网络资源,以提高网络安全性。 具体内容请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的和 GaussDB数据库 实例提供访问策略。为了保障数据库的安全性和稳定性,在使用GaussDB数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。 具体请参见设置安全组规则。
-
后续管理 访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。 若需线下管理策略,可单击“导出”,以 CS V格式导出全量访问控制策略详情。
-
访问控制策略的IP地址是否取的客户端的IP地址? 访问控制策略的IP地址不一定取客户端的IP地址。 APIG的访问控制是根据$remote_addr的值进行校验。$remote_addr代表客户端的IP,它的值是服务端根据客户端的IP指定的,当客户端访问APIG时,如果中间没有任何代理,那么就会把remote_addr设为客户端IP;如果使用了某个代理,那么客户端会先访问这个代理,然后再由这个代理转发到APIG,这样就会把remote_addr设为这台代理机的IP。 父主题: API访问控制
-
(可选)为用户设置Topic/消费组权限 5.x基础版不支持此操作。 创建用户时会设置默认的Topic和消费组权限,如果需要修改默认权限,则可以在此处重新为用户设置。管理员默认具有所有权限,无需手动添加。 单击用户名称,进入用户详情页面。 在“Topic权限”/“消费组权限”页签中,单击添加权限,弹出“添加权限”对话框。 勾选需要添加权限的Topic或者消费组,选择所需的特殊权限,单击“确定”。 指定Topic或者消费组的特殊权限会覆盖默认权限,如图1中,test01的实际权限为发布+订阅。 图1 用户详情页面
-
新建空间资源权限策略 在 DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击左侧导航树中的“空间资源权限”,进入空间资源权限页面。 图1 进入空间资源权限页面 单击空间资源权限页面的“新建” ,在弹出的策略配置页参考表1配置相关参数,配置完成单击“保存”,策略配置完成。 表1 配置空间资源权限策略参数说明 参数名 参数描述 *策略名称 标识空间资源权限策略,为便于策略管理,建议名称中包含资源对象和授权对象。 资源对象 数据连接 选择需要授权的管理中心组件数据连接。如需新建数据连接,请参考创建DataArts Studio数据连接。 说明: 对于未选择的数据连接,则默认该连接权限放开,不做权限管控。 对于选择的数据连接,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该连接。 委托 选择需要授权的IAM委托,仅限于委托对象为“ 数据湖 治理中心 DGC”的云服务类型委托。如需新建委托,请参考参考:创建委托。 说明: 对于未选择的委托,则默认该委托权限放开,不做权限管控。 对于选择的委托,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该委托。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图2 新建空间资源权限策略
-
约束与限制 当前仅支持简单模式的工作空间资源管控,不支持企业模式。 如果未对某资源进行赋权,则默认该资源权限放开,不做权限管控。 当前仅数据开发组件支持空间资源权限策略,其他组件不受空间资源权限策略限制。在数据开发组件如下场景中,会根据空间资源权限策略进行鉴权。 脚本开发或者作业开发中,选择连接或作业委托、公共委托。 提交脚本或者作业。 对于历史版本中直接在数据开发组件创建的数据连接,暂不支持进行资源权限管理。 对于已有的空间资源权限策略,当已删除对应资源后,策略不会随之自动删除。
-
配置空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面,找到需要配置的空间权限集,单击权限集名称进入详情页面。 图3 进入空间权限集详情 基本信息:在空间权限集详情页面,基本信息区域可以查看空间权限集名称、ID、管理员等信息,详见图4。 图4 空间权限集基本信息 权限配置:在权限集详情页面,权限配置页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持 MRS 数据源。 图5 数据视角权限配置 配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。 数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 图6 数据视角授权 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。 配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限: 创建库:write 权限创建表/写入数据/删除表:read权限 配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图7 权限视角权限配置 用户配置:在权限集详情页面,单击“用户配置”进入用户配置页签。 用户配置的含义即为将权限配置中定义的数据权限,与此处的用户绑定起来。您可以单击“添加”,按照用户或用户组(当前暂不支持选择“工作空间角色”)的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图8 用户配置 子权限集:在权限集详情页面,单击“子权限集”进入子权限集页签。 在子权限集页签,您可以查看到当前权限集下的子权限集。 图9 查看子权限集 日志:在权限集详情页面,单击“日志”进入日志页签。 在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图10 查看日志 权限集配置完成后,权限管控并不会直接生效。需要您手动将权限同步到数据源中,同步成功后权限管控才能生效,详见同步权限集。 实际上,由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。
-
相关操作 同步空间权限集:空间权限集需要手动同步到数据源中权限管控才能生效。但由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,推荐通过配置角色进行权限管控。 如需同步空间权限集,则在空间权限集页面,单击列表中对应权限集操作栏中的“同步”,即可将权限集同步至数据源。当需要批量同步时,可以在勾选权限集后,在列表上方单击“同步”。 编辑空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“编辑”,即可修改权限集名称、管理员、描述信息。 删除空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“删除”,在弹窗中再次确认后,即可删除权限集。当需要批量删除时,可以在勾选权限集后,在列表上方单击“删除”。 注意,已配置权限、用户或有子权限集的空间权限集不可删除。如需删除应先清理空间权限集的相关配置。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。
-
创建空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面单击“新建”,创建权限集。 图1 创建空间权限集 新建空间权限集配置请参考表1,参数配置完成单击“确定”即可。 表1 新建空间权限集参数设置 参数名 参数设置 *权限集名称 标识权限集,实例下唯一。 建议名称中包含含义,避免无意义的描述,以便于快速识别所需权限集。 *管理员 选择管理员。当前权限集管理员支持最多选2个,且管理员类型必须同为用户或者用户组。 管理员为当前权限集的负责人,具有配置当前权限集内权限的能力。管理员职能范围: 权限配置:为权限集分配数据源权限。 用户配置:将当前集合内权限分配给用户、用户组或工作空间角色。 创建权限集:基于当前权限集新建权限集和角色,新建权限集的权限不会大于当前权限集。 描述 为更好地识别权限集,此处加以描述信息。 图2 创建空间权限集配置
-
约束与限制 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或同步空间权限集,权限集管理员支持同步空间权限集,其他普通用户无权限操作。 当前通过空间权限集定义权限时,仅支持 DLI 、MRS Hive和DWS数据源。 空间权限集配置完成后,权限管控并不会直接生效,而是需要将空间权限集手动同步到数据源后,权限管控才能生效。 由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。如果需要同步,则需注意以下限制: 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 DLI权限集同步时会将权限由IAM创建自定义策略绑定到用户/用户组中。IAM最多可创建自定义策略200条,同步前请确保配额充足。 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
-
前提条件 配置权限集前,已在管理中心创建 数据仓库 服务(DWS)、 数据湖探索 (DLI)、 MapReduce服务 (MRS Hive)和MapReduce服务(MRS Ranger)类型的数据连接,请参考创建DataArts Studio数据连接。 配置权限集前,已参考授权dlg_agency委托为dlg_agency委托配置权限。 配置权限集前,已参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。 如果希望在权限配置时能够展示数据连接中数据库、表以及字段等元数据提示信息,则需要在数据目录组件,对数据表成功进行过元数据采集,详见元数据采集任务。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
