云服务器内容精选
-
配置示例 示例1: 域名 www.example.com配置了如下区域访问控制规则。 配置效果: 由于黑名单优先,所以此配置的结果是黑名单生效。中国大陆用户访问“/test”文件夹下的资源(例:www.example.com/test/abc.jpg)时命中黑名单,返回403状态码。 位于中国香港的用户访问“/test”文件夹下的资源(例:www.example.com/test/abc.jpg)时黑白名单均未命中,此时默认是拒绝访问,返回403状态码。 示例2:域名www.example.com配置了如下区域访问控制规则。 配置效果: 位于中国香港的用户访问“/test”文件夹下的资源(例:www.example.com/test/abc.jpg)时命中黑名单,返回403状态码。 位于中国大陆的用户访问“/test”文件夹下的资源(例:www.example.com/test/abc.jpg)时命中白名单,返回对应的资源给用户。 位于中国澳门的用户访问“/test”文件夹下的资源(例:www.example.com/test/abc.jpg)时黑白名单均未命中,此时默认是拒绝访问,返回403状态码。 示例3:域名www.example.com配置了如下区域访问控制规则。 配置效果: 位于中国香港的用户访问“/test/abc”文件夹下的资源(例:www.example.com/test/abc/1.jpg)时命中黑名单,返回403状态码。 位于中国大陆的用户访问“/test”文件夹下的资源(例:www.example.com/test/cat.jpg)时命中白名单,返回对应的资源给用户。 位于中国香港的用户访问“/test”文件夹下的资源(例:www.example.com/test/cat.jpg)时黑白名单均未命中,此时默认是拒绝访问,返回403状态码。 位于中国澳门的用户访问“/test”文件夹下的资源(例:www.example.com/test/cat.jpg)时黑白名单均未命中,此时默认是拒绝访问,返回403状态码。
-
支持的区域 表2 支持配置的区域 大区 具体区域 亚洲 中国大陆、中国香港、中国澳门、中国台湾、阿拉伯联合酋长国、阿富汗、亚美尼亚、阿塞拜疆、孟加拉国、巴林、不丹、格鲁吉亚、印度尼西亚、以色列、印度、伊拉克、伊朗、约旦、日本、吉尔吉斯斯坦、柬埔寨、朝鲜民主主义人民共和国、大韩民国、科威特、哈萨克斯坦、老挝人民民主共和国、黎巴嫩、斯里兰卡、缅甸、蒙古、马尔代夫、马来西亚、尼泊尔、阿曼、菲律宾、巴基斯坦、巴勒斯坦、卡塔尔、沙特阿拉伯、新加坡、阿拉伯叙利亚共和国、泰国、塔吉克斯坦、东帝汶、土库曼斯坦、土耳其、乌兹别克斯坦、越南、也门 欧洲 安道尔、阿尔巴尼亚、奥地利、波斯尼亚和黑塞哥维那、比利时、保加利亚、白俄罗斯、瑞士、塞浦路斯、捷克、丹麦、爱沙尼亚、西班牙、芬兰、法罗群岛、法国、大不列颠及北爱尔兰联合王国、希腊、克罗地亚、匈牙利、爱尔兰、冰岛、意大利、立陶宛、卢森堡、拉脱维亚、摩纳哥、摩尔多瓦共和国、黑山、北马其顿、马耳他、荷兰、挪威、波兰、葡萄牙、罗马尼亚、塞尔维亚、瑞典、斯洛文尼亚、斯洛伐克、圣马力诺 非洲 安哥拉、布基纳法索、布隆迪、贝宁、博茨瓦纳、刚果民主共和国、中非共和国、刚果、科特迪瓦、喀麦隆、吉布提、阿尔及利亚、埃及、厄立特里亚、埃塞俄比亚、加蓬、加纳、冈比亚、几内亚、赤道几内亚、几内亚比绍、肯尼亚、科摩罗、利比里亚、莱索托、利比亚、摩洛哥、马达加斯加、马里、毛里塔尼亚、毛里求斯、马拉维、莫桑比克、纳米比亚、尼日尔、尼日利亚、卢旺达、塞舌尔、苏丹、塞拉利昂、塞内加尔、索马里、南苏丹、圣多美和普林西比、斯威士兰、乍得、多哥、突尼斯、坦桑尼亚联合共和国、乌干达、南非、赞比亚、津巴布韦 北美洲 安提瓜和巴布达、巴巴多斯、巴哈马、伯利兹、加拿大、哥斯达黎加,古巴、多米尼克,多米尼加共和国、格林纳达,洪都拉斯、海地,牙买加、圣基茨和尼维斯,圣卢西亚、墨西哥、尼加拉瓜、巴拿马、萨尔瓦多、特立尼达和多巴哥、美利坚合众国、圣文森特和格林纳丁斯 大洋洲 澳大利亚、库克群岛、斐济、密克罗尼西亚、基里巴斯、马绍尔群岛、瑙鲁、纽埃、新西兰、巴布亚新几内亚、所罗门群岛、托克劳、汤加、图瓦卢、瓦努阿图、萨摩亚 南美洲 阿根廷、玻利维亚、巴西、智利、哥伦比亚、厄瓜多尔、圭亚那、秘鲁、巴拉圭、苏里南、委内瑞拉
-
适用场景 当您的业务因为某些地方性法规而无法对当地用户放开访问或者因业务原因不能对某些区域的用户开放时,可以使用区域访问控制来达到目的。CDN通过识别客户端IP来判断用户访问来源,工作原理如下: 您的域名www.example.com业务范围不包含W市,并且在CDN控制台为W市配置了黑名单。 CDN收到一个来自W市的IP请求访问www.example.com,DNS将该请求解析至W市的某个CDN节点。 节点检测当前IP没有权限下载您域名下的资源。 CDN向该用户返回HTTP 状态代码 403 (Forbidden)。
-
配置空间权限集 在 DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面,找到需要配置的空间权限集,单击权限集名称进入详情页面。 图3 进入空间权限集详情 基本信息:在空间权限集详情页面,基本信息区域可以查看空间权限集名称、ID、管理员等信息,详见图4。 图4 空间权限集基本信息 权限配置:在权限集详情页面,权限配置页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持 MRS 数据源。 图5 数据视角权限配置 配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。 数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表的表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 图6 数据视角授权 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。 配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表的表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限: 创建库:write 权限创建表/写入数据/删除表:read权限 DWS授权时,数据库可修改为逻辑集群,用于为DWS数据源开启逻辑集群功能后的授权。逻辑集群场景下,使用DWS额外所需如下逻辑集群权限: 允许在子集群中创建表对象:create 允许访问子集群下的表对象:usage 允许用户在具有compute权限的计算子集群上进行弹性计算:compute 配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图7 权限视角权限配置 用户配置:在权限集详情页面,单击“用户配置”进入用户配置页签。 用户配置的含义即为将权限配置中定义的数据权限,与此处的用户绑定起来。您可以单击“添加”,按照用户或用户组(当前暂不支持选择“工作空间角色”)的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图8 用户配置 子权限集:在权限集详情页面,单击“子权限集”进入子权限集页签。 在子权限集页签,您可以查看到当前权限集下的子权限集。 图9 查看子权限集 日志:在权限集详情页面,单击“日志”进入日志页签。 在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图10 查看日志 权限集配置完成后,权限管控并不会直接生效。需要您手动将权限同步到数据源中,同步成功后权限管控才能生效,详见同步权限集。 实际上,由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。
-
相关操作 同步空间权限集:空间权限集需要手动同步到数据源中权限管控才能生效。但由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,推荐通过配置角色进行权限管控。 如需同步空间权限集,则在空间权限集页面,单击列表中对应权限集操作栏中的“同步”,即可将权限集同步至数据源。当需要批量同步时,可以在勾选权限集后,在列表上方单击“同步”。 编辑空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“编辑”,即可修改权限集名称、管理员、描述信息。 删除空间权限集:在空间权限集页面,单击列表中对应权限集操作栏中的“删除”,在弹窗中再次确认后,即可删除权限集。当需要批量删除时,可以在勾选权限集后,在列表上方单击“删除”。 注意,已配置权限、用户或有子权限集的空间权限集不可删除。如需删除应先清理空间权限集的相关配置。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。
-
约束与限制 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或同步空间权限集,权限集管理员支持同步空间权限集,其他普通用户无权限操作。 当前通过空间权限集定义权限时,仅支持 DLI 、MRS Hive和DWS数据源。 空间权限集配置完成后,权限管控并不会直接生效,而是需要将空间权限集手动同步到数据源后,权限管控才能生效。 由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。如果需要同步,则需注意以下限制: 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 DWS权限集授权时,如果给某一用户赋予了DWS数据源某个Schema下的全表权限(即将权限中的数据表配置为*号),则该用户具备对该Schema下的所有表的相应权限。但由于DWS自身权限特性限制,这些赋予的权限仅针对当前已有的表;而对于权限同步后再创建的新表(以下简称未来表),该用户依然没有权限,需要在角色/权限集中再次手动进行 权限同步后,才能确保该用户具备未来表的相应权限。 为了解决未来表权限需要手动同步的问题,您可以通过未来表权限为指定Schema配置未来表的建表用户。当这些用户在指定Schema下创建未来表时,当前实例下所有对该Schema拥有全表权限的用户,将自动获得对所创建未来表的相应权限。 DLI权限集同步时会将权限由IAM创建自定义策略绑定到用户/用户组中。IAM最多可创建自定义策略200条,同步前请确保配额充足。 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 空间权限集删除后将被转移至回收站中,您可以在30天内进行还原,在回收站中超过30天的数据将被自动删除。详见管理回收站章节。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
-
前提条件 配置权限集前,已在管理中心创建 数据仓库 服务(DWS)、 数据湖探索 (DLI)、 MapReduce服务 (MRS Hive)和MapReduce服务(MRS Ranger)类型的数据连接,请参考创建DataArts Studio数据连接。 配置权限集前,已参考授权dlg_agency委托为dlg_agency委托配置权限。 配置权限集前,已参考同步IAM用户到数据源将IAM上的用户信息同步到数据源上。 如果希望在权限配置时能够展示数据连接中数据库、表以及字段等元数据提示信息,则需要在数据目录组件,对数据表成功进行过元数据采集,详见元数据采集任务。
-
创建空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面单击“新建”,创建权限集。 图1 创建空间权限集 新建空间权限集配置请参考表1,参数配置完成单击“确定”即可。 表1 新建空间权限集参数设置 参数名 参数设置 *权限集名称 标识权限集,实例下唯一。 建议名称中包含含义,避免无意义的描述,以便于快速识别所需权限集。 *管理员 选择管理员。当前权限集管理员支持最多选2个,且管理员类型必须同为用户或者用户组。 管理员为当前权限集的负责人,具有配置当前权限集内权限的能力。管理员职能范围: 权限配置:为权限集分配数据源权限。 用户配置:将当前集合内权限分配给用户、用户组或工作空间角色。 创建权限集:基于当前权限集新建权限集和角色,新建权限集的权限不会大于当前权限集。 描述 为更好地识别权限集,此处加以描述信息。 图2 创建空间权限集配置
-
审批权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,审批人单击“权限审批”进入权限审批页签。 图7 权限审批 在权限审批页签中,工单列表默认展示待审批的工单。您可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情。请从业务合理性和数据安全角度审视,确认“通过”或“驳回”该工单,同时也可以勾选工单后单击列表上方的“批量审批”批量“通过”或“驳回”工单。 在权限审批页签中,单击“已审批”,可查看已经审批通过的工单。 图8 已通过工单列表
-
申请权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面的权限申请页签,单击“创建权限申请”,创建权限申请工单。 图4 创建权限申请 在权限申请工单页面中,参考表2完成工单填写。 图5 填写工单 表2 权限申请工单参数说明 配置项 说明 基本信息 *工作空间 选择已配置空间权限集的工作空间。 *空间权限集 选择空间权限集,空间权限集权限范围应已包含所需资源权限。 *数据源类型 当前支持Hive、DWS、DLI。 *集群名称 选择要申请的资源所在的集群。 *数据连接 选择要申请的资源所在的数据连接。 资源选择 *待添加资源 在导航树上选择数据库后,勾选所需的数据表,单次申请时支持选择不同数据库下的表。 说明: 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置所选数据表中所有列的SELECT权限。 另外,导航树上的快速模式开启后,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。推荐开启快速模式。 *已选择资源 在已选择资源列表中可查看所选的表、权限和审批人信息。 说明: 审批人默认来自权限集/角色的管理员。例如,如果空间权限集、权限集A和角色B中均定义了所选数据表中所有列的SELECT权限,审批人可以选择为权限集A或角色B管理员;如果只有空间权限集定义了所选数据表中所有列的SELECT权限,审批人为空间权限集的管理员。 申请信息 为自己 勾选为自己后,可为自己申请所选择的资源权限。 空间账号 当在数据开发组件配置调度的公共IAM账号后,可为空间账号申请所选择的资源权限。 为他人 可选择工作空间内的成员,为其申请所选择的资源权限。 *申请原因 填写申请原因,便于审批人审视是否应当审批。 工单填写完成后,单击提交可生成一条待审批的工单记录。在工单列表处,可以查看工单ID、摘要、状态等信息,单击ID名查看工单详情,并支持撤回未审批的工单。 图6 工单列表
-
相关操作 编辑审批策略:在审批策略页面,单击对应策略操作栏中的“编辑”,即可修改审批策略各项参数。 编辑审批策略状态:新增的审批策略默认为关闭状态。当审批策略为关闭状态时,表示该策略将不生效。 需要修改审批策略状态时,在审批策略页面单击对应审批策略中的或,即可启用或关闭审批策略。 删除审批策略:在审批策略页面,单击对应策略操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选审批策略后,在列表上方单击“批量删除”。 删除操作无法撤销,请谨慎操作。
-
回收权限 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,单击“权限回收”,进入权限回收页签。 图9 权限回收 在权限回收页签中,列表展示指定空间(默认当前空间)下的用户通过申请、审批获得的数据权限。您可以通过选择需要回收的权限所在的工作空间、成员名称或库表名,匹配权限记录(支持模糊匹配),然后通过操作栏中的“回收”,删除当前的权限记录。 仅DAYU Administrator、Tenant Administrator、空间管理员和数据安全管理员可以回收对应空间下用户的数据权限。 图10 回收权限
-
配置审批策略 通过审批策略,您可以设置多级审批流程,或针对不同密级数据的权限申请设置不同的审批流程。 值得注意的是,审批策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“权限审批”,进入权限审批页面。 在“权限审批”页面,单击“审批策略”进入审批策略页签。单击“新建”,新建一条审批策略。 图1 创建审批策略 在创建策略页面中,参考表1完成审批策略创建,审批节点可通过单击进行新增。 图2 配置审批策略 表1 审批策略参数说明 配置项 说明 基本信息 *策略名称 配置审批策略名。仅支持中英文、数字和下划线,长度不超过32个字符。 策略描述 为更好地识别审批策略,此处加以描述信息,长度不能超过255个字符。 数据密级范围 如果需要针对不同密级数据的权限申请设置不同的审批流程,此处需要选择数据密级。注意,一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。 选择数据密级的条件为: 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务,并将密级信息同步到数据地图。 审批节点配置-系统角色/IAM用户/IAM用户组 审批人类型 选择审批人类型。 选择角色 根据不同的审批人类型,选择对应的审批人角色。 审批策略填写完成后,单击提交可新建一条审批策略。新建的审批策略默认为关闭状态,如需生效,请在审批策略列表处,单击进行开启。 图3 审批策略列表
-
约束与限制 一个密级下只允许存在一条审批策略,不选密级也只允许存在一条审批策略。 创建基于密级的审批策略时,需要满足以下条件: 已开启数据地图组件。 已采集相关密级数据的元数据。 已完成敏感数据发现任务,并将密级信息同步到数据地图。 当前仅支持按照数据表粒度,申请数据表的查询数据(SELECT)权限。因此权限申请前,请确保空间权限集已配置待申请数据表中所有列的SELECT权限。 仅DAYU Administrator、Tenant Administrator、数据安全管理员和工作空间管理员可以回收其他用户权限。 单次申请多个数据表的权限,会拆成多个工单进行审批。 当前权限申请和审批模块,仅支持查看当前用户的权限申请与审批记录,不支持权限审计。 DLI权限申请只支持为用户申请,不支持用户组。 进行权限同步时,需要为dlg_agency委托配置相关权限,请参考授权dlg_agency委托。 当前数据权限管控为白名单机制,是在待授权用户原有权限的基础上增加允许操作条件,不会影响用户的原有权限。如果仅需要当前数据权限管控所赋予的权限生效,则需要您手动去除待授权用户的原有权限。详见数据权限管控说明。 默认在DataArts Studio数据开发组件执行脚本、测试运行作业时,数据源(此处指MRS/DWS数据源)会使用数据连接上的账号进行认证鉴权。因此在数据开发时,权限管控依然无法生效。需要您启用细粒度认证,使得在数据开发执行脚本、测试运行作业时,使用当前用户身份认证鉴权,从而做到实现不同用户具有不同的数据权限,使角色/权限集中的权限管控生效。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
