上周举行的腾讯云知识分享,雁栖学堂第三期 GooseFS 数据湖存储数据管理能力篇已经圆满结束了。
腾讯云存储团队技术大牛林楠,主要跟大家讨论构建数据湖过程中需要注意的数据安全事项,比如通过Apache Ranger 控制 GooseFS 的资源访问权限,通过 COS 用户策略、存储桶策略等管控存储在对象存储上的数据安全等。
整个内容分两个部分:
一、对象存储 COS 的安全能力介绍;
二、GooseFS Ranger 的权限体系方案;
一、对象存储 COS 的安全能力介绍
对象存储 COS 的安全能力介绍,从以下三个维度讲解:
1.COS 权限设计
2.实例
3.常见问题
首先,我们先来了解下COS 权限设计:
注意:权限设计大体需要考虑几点:
•委托人(principal):授权的目标•合法的CAM用户(子账号、协作者、服务角色等)•匿名用户;
•效力(effect):授权类型,区分为允许或者显式拒绝两种;
•操作(action):授权允许或拒绝的操作。可以是单个API 操作或者多个API 操作的集合;
•资源(resource):授权的具体资源,资源是用六段式描述。•指定资源范围为指定的文件,例如exampleobject.jpg•指定资源范围为目录,例如examplePrefix/*•指定资源范围为整个存储桶,例如/*
•条件(condition):授权次恶略生效的约束条件。•由操作符、操作键和操作值组成条件值可包括时间、IP 地址等信息;
接下来我们看下权限设计的评估流程是怎样的?
接着,我们看下权限设计的一些实例:
最后,我们了解下权限设计会遇到的一些常见问题:
二、GooseFS Ranger 的权限体系方案
GooseFS Ranger 的权限体系方案,整体是从以下三点来介绍的:
1.Ranger 权限体系介绍
2.基于 Ranger控制 GooseFS 的访问权限
3.常见问题
首先,我们看下 Ranger 权限体系介绍和评估流程:
接下来,我们了解下基于 Ranger 控制 GooseFS 的访问权限:
最后,我们一起看几种常用的权限模型:
以上是林楠老师分享内容的简要概括,更多精彩内容,可点击链接进行视频观看。
— END —
