黨的二十大以來(lái)，北京市持續(xù)加強(qiáng)“兩區(qū)”“三平臺(tái)”（“三平臺(tái)”為中國(guó)國(guó)際服務(wù)貿(mào)易交易會(huì)、中關(guān)村論壇和金融街論壇）建設(shè)，金融資產(chǎn)總量超200萬(wàn)億，約占全國(guó)的一半，大量中外資金融機(jī)構(gòu)和國(guó)際金融組織匯集，金融業(yè)改革開(kāi)放邁向新臺(tái)階。

支持北京證券交易所制度創(chuàng)新和高質(zhì)量的擴(kuò)容，加快打造全球一流的資產(chǎn)管理高地，推進(jìn)國(guó)家級(jí)金融科技示范區(qū)建設(shè)，基礎(chǔ)設(shè)施的公募REITs試點(diǎn)規(guī)模全國(guó)領(lǐng)先……2023金融街論壇年會(huì)召開(kāi)之際，記者走訪北京金融業(yè)部門(mén)和機(jī)構(gòu)，探尋首都建設(shè)金融高地新動(dòng)向。

更好服務(wù)實(shí)體經(jīng)濟(jì)沖在前

運(yùn)營(yíng)無(wú)人車(chē)超200輛、配送單量近400萬(wàn)單……在北京亦莊新石器無(wú)人車(chē)展廳里，大屏幕上的數(shù)字實(shí)時(shí)跳動(dòng)，顯示出城市發(fā)展新脈動(dòng)。看著眼前景象，新石器慧通（北京）科技有限公司創(chuàng)始人兼CEO余恩源感慨：“公司初創(chuàng)期需要大量資金，銀行的首次貸款對(duì)企業(yè)意義非凡。”

該公司與北京銀行第一次接觸便獲得150萬(wàn)元貸款。隨著企業(yè)發(fā)展壯大，北京銀行進(jìn)一步加大信貸支持，為企業(yè)增額四次至1000萬(wàn)元。北京銀行黨委書(shū)記、董事長(zhǎng)霍學(xué)文介紹，服務(wù)實(shí)體經(jīng)濟(jì)、支持專精特新企業(yè)發(fā)展已成為北京銀行未來(lái)發(fā)展的重要戰(zhàn)略布局。據(jù)了解，截至10月初，該行“領(lǐng)航e貸”正式授信金額超300億元，未來(lái)兩年將用千億元精準(zhǔn)滴灌專精特新千企萬(wàn)戶。

這是首都金融業(yè)以改革促提升、服務(wù)實(shí)體經(jīng)濟(jì)的縮影。國(guó)家金融監(jiān)督管理總局北京監(jiān)管局相關(guān)負(fù)責(zé)人認(rèn)為，首都作為國(guó)家金融管理中心，扎實(shí)推進(jìn)一系列試驗(yàn)性、原創(chuàng)性改革，形成了一批可推廣、可復(fù)制的“北京經(jīng)驗(yàn)”，在數(shù)字金融、綠色金融、科技金融等重點(diǎn)領(lǐng)域沖在前，真正發(fā)揮“排頭兵”“試驗(yàn)田”作用。

在中關(guān)村，為服務(wù)尖端人才創(chuàng)新創(chuàng)業(yè)，北京試點(diǎn)建設(shè)“中關(guān)村科創(chuàng)金融服務(wù)中心”，用金融服務(wù)集成打造科創(chuàng)金融綜合服務(wù)體，以市場(chǎng)方式引導(dǎo)金融機(jī)構(gòu)開(kāi)發(fā)產(chǎn)品，“并購(gòu)貸款”“科技人才貸”“認(rèn)股權(quán)貸款”等市場(chǎng)迫切需求的產(chǎn)品廣受好評(píng)。

“增量、擴(kuò)面、降本”，這是接入北京金融綜合服務(wù)網(wǎng)50多家金融機(jī)構(gòu)的普遍感受。解決信息不對(duì)稱是金融服務(wù)實(shí)體經(jīng)濟(jì)的難點(diǎn)，北京建立專網(wǎng)，打通政務(wù)數(shù)據(jù)與金融數(shù)據(jù)的“斷點(diǎn)”，服務(wù)小微企業(yè)1088萬(wàn)余家次，服務(wù)個(gè)人金融消費(fèi)者近1600萬(wàn)人次。

截至2023年三季度末，北京市轄內(nèi)科技信貸余額8894億元，存量企業(yè)客戶數(shù)2.3萬(wàn)戶，較年初增長(zhǎng)12.1%，為建設(shè)國(guó)際科技創(chuàng)新中心提供金融助力。

創(chuàng)新監(jiān)管體系建設(shè)的“北京樣本”

從10年前的“動(dòng)批”市場(chǎng)啟動(dòng)疏解，到5年前的金科新區(qū)啟動(dòng)建設(shè)，面對(duì)“建設(shè)一個(gè)什么樣的首都，怎樣建設(shè)首都”時(shí)代課題，金科新區(qū)交出了這樣一份答卷：

引進(jìn)網(wǎng)聯(lián)清算、光大云繳費(fèi)、金融網(wǎng)關(guān)信息服務(wù)、建信金服，服務(wù)中國(guó)人民銀行和中國(guó)證監(jiān)會(huì)開(kāi)展金融科技創(chuàng)新監(jiān)管試點(diǎn)、資本市場(chǎng)創(chuàng)新監(jiān)管試點(diǎn)。在首批納入試點(diǎn)的16個(gè)資本市場(chǎng)金融科技創(chuàng)新監(jiān)管試點(diǎn)項(xiàng)目中，6家金融機(jī)構(gòu)項(xiàng)目入選，凸顯了金融街中國(guó)版“監(jiān)管沙箱”的核心承載區(qū)優(yōu)勢(shì)。

6日，在資本市場(chǎng)金融科技創(chuàng)新試點(diǎn)(北京)第二批項(xiàng)目遴選專家評(píng)審會(huì)上，28個(gè)項(xiàng)目完成評(píng)審。北京地方金融監(jiān)督管理局相關(guān)負(fù)責(zé)人介紹，與第一批相比，第二批項(xiàng)目呈現(xiàn)出參與主體進(jìn)一步豐富、應(yīng)用探索更前沿、業(yè)務(wù)場(chǎng)景廣泛多樣等特點(diǎn)，展現(xiàn)出首都持續(xù)完善試點(diǎn)監(jiān)督機(jī)制、資本市場(chǎng)蓬勃發(fā)展的態(tài)勢(shì)。

在深入推進(jìn)金融科技創(chuàng)新監(jiān)管試點(diǎn)的同時(shí)，北京支持企業(yè)持續(xù)開(kāi)展金融相關(guān)設(shè)施關(guān)鍵技術(shù)創(chuàng)新。

紙幣清分機(jī)用于人民幣紙幣的點(diǎn)鈔、計(jì)數(shù)、識(shí)別，在銀行業(yè)務(wù)中扮演重要角色，長(zhǎng)期以來(lái)我國(guó)各銀行所使用的大型清分機(jī)以進(jìn)口為主。“我們自主研發(fā)了國(guó)內(nèi)首創(chuàng)的C1型大型清分機(jī)，打破了進(jìn)口設(shè)備在金融領(lǐng)域長(zhǎng)期以來(lái)的壟斷。”中鈔長(zhǎng)城金融設(shè)備控股有限公司相關(guān)負(fù)責(zé)人說(shuō)，這款設(shè)備已在人民銀行多個(gè)鈔票處理中心交付使用。

不斷推進(jìn)金融高水平開(kāi)放

新設(shè)巴基斯坦哈比銀行北京分行、塔吉克斯坦東方銀行北京代表處、獨(dú)資貨幣經(jīng)紀(jì)公司上田八木、匯豐保險(xiǎn)經(jīng)紀(jì)公司、渣打證券（中國(guó)）……近年來(lái)，北京主動(dòng)對(duì)接、有序引導(dǎo)、高效助推各類優(yōu)質(zhì)金融機(jī)構(gòu)在京加速落地，諸多“首家”的背后正是北京持續(xù)深化金融開(kāi)放合作取得的累累碩果。

作為我國(guó)首家外商獨(dú)資貨幣經(jīng)紀(jì)公司、落地北京城市副中心的首家外商獨(dú)資持牌金融機(jī)構(gòu)，上田八木貨幣經(jīng)紀(jì)（中國(guó)）有限公司僅用13個(gè)月就走完了以往需要4至5年才能走完的審批流程，開(kāi)業(yè)兩年多來(lái)合作機(jī)構(gòu)超過(guò)2100家。公司執(zhí)行董事、總裁黃洪認(rèn)為，在多項(xiàng)金融開(kāi)放政策疊加支持下，公司發(fā)展前景更加光明。

緊抓“兩區(qū)”建設(shè)機(jī)遇，北京正加快打造金融開(kāi)放新高地。2019年，北京推出十項(xiàng)金融業(yè)對(duì)外開(kāi)放舉措，這份“大禮包”包括對(duì)外資金融機(jī)構(gòu)建立服務(wù)管家制度、支持外資金融機(jī)構(gòu)與在京科技創(chuàng)新企業(yè)深化合作對(duì)接，鼓勵(lì)依法合規(guī)有序開(kāi)展金融科技創(chuàng)新等；2022年，《北京市“十四五”時(shí)期金融業(yè)發(fā)展規(guī)劃》明確提出，在金融開(kāi)放方面，北京將重點(diǎn)圍繞“兩區(qū)”建設(shè)，在外資市場(chǎng)準(zhǔn)入、人民幣國(guó)際化、跨境金融服務(wù)、國(guó)際金融交流合作等方面積極開(kāi)展探索……

大和證券（中國(guó)）CEO耿欣認(rèn)為，北京已成為外資機(jī)構(gòu)落地展業(yè)的熱門(mén)之選，展現(xiàn)出無(wú)可比擬的獨(dú)特優(yōu)勢(shì)，“特別是在監(jiān)管、市場(chǎng)、人才及科技創(chuàng)新等方面為金融業(yè)開(kāi)放提供了優(yōu)質(zhì)的環(huán)境與機(jī)遇，有力增強(qiáng)外資機(jī)構(gòu)在華發(fā)展信心”。

數(shù)據(jù)顯示，“兩區(qū)”建設(shè)以來(lái)，北京市共審批推動(dòng)銀行業(yè)保險(xiǎn)業(yè)在京新設(shè)分行（公司）級(jí)以上機(jī)構(gòu)52家，其中自貿(mào)區(qū)內(nèi)機(jī)構(gòu)14家；新設(shè)支行（公司）級(jí)以下機(jī)構(gòu)167家，其中自貿(mào)區(qū)內(nèi)機(jī)構(gòu)28家。

工商銀行原首席經(jīng)濟(jì)學(xué)家周月秋說(shuō)，當(dāng)前，繼續(xù)推進(jìn)規(guī)則、規(guī)制、管理、標(biāo)準(zhǔn)等制度型開(kāi)放將成為未來(lái)金融業(yè)開(kāi)放的主要特征。“擴(kuò)大制度型開(kāi)放將更加有助于吸引更多外資金融機(jī)構(gòu)和長(zhǎng)期資本來(lái)華展業(yè)興業(yè)，最終目標(biāo)是切實(shí)提升我國(guó)金融業(yè)的國(guó)際競(jìng)爭(zhēng)力，進(jìn)而提升其服務(wù)國(guó)內(nèi)實(shí)體經(jīng)濟(jì)的能力。”周月秋說(shuō)。 （記者陳旭 魯暢）

來(lái)源：新華每日電訊

axCompute產(chǎn)品簡(jiǎn)介

MaxCompute是一款多功能、低成本、高性能、高可靠、易于使用的數(shù)據(jù)倉(cāng)庫(kù)和支持全部數(shù)據(jù)湖能力的大數(shù)據(jù)平臺(tái)，支持超大規(guī)模、serverless和完善的多租戶能力，內(nèi)建企業(yè)級(jí)安全能力和管理功能，支持?jǐn)?shù)據(jù)保護(hù)和安全共享，數(shù)據(jù)/生態(tài)開(kāi)放，可以滿足數(shù)據(jù)倉(cāng)庫(kù)/BI、數(shù)據(jù)湖非結(jié)構(gòu)化數(shù)據(jù)處理和分析、湖倉(cāng)一體聯(lián)邦計(jì)算、機(jī)器學(xué)習(xí)等多業(yè)務(wù)場(chǎng)景需求。

阿里云MaxCompute提供了全托管的服務(wù)，用戶開(kāi)箱即用，只需要關(guān)注自己的業(yè)務(wù)和資源使用，真正做到Paas平臺(tái)Saas模式使用。MaxCompute是一個(gè)真正的云原生多租戶平臺(tái)，可以做到較低的資源成本，讓用戶獲得更低的TCO。租戶之間可以方便的共享數(shù)據(jù)，而不必在多個(gè)Hadoop實(shí)例之間開(kāi)接口。從接入和使用角度看，簡(jiǎn)單易用，支持多引擎， 可上可下。很多使用MC的客戶反饋，不是業(yè)務(wù)不能遷移，只是再也沒(méi)有其他更好用更經(jīng)濟(jì)的選擇了。從數(shù)倉(cāng)管理能力上看，MaxCompute提供統(tǒng)一元數(shù)據(jù)、統(tǒng)一的賬號(hào)和權(quán)限體系，完善的企業(yè)級(jí)安全能力。從資源使用角度上看，自適應(yīng)的按需彈性資源，避免資源浪費(fèi)或不足，節(jié)省成本又滿足需求。業(yè)務(wù)負(fù)載隔離，消除業(yè)務(wù)間資源爭(zhēng)搶。從規(guī)模和數(shù)據(jù)存儲(chǔ)角度看，支持TB到EB級(jí)的大規(guī)模部署應(yīng)用和擴(kuò)展。連接廣泛外部數(shù)據(jù)源，支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)和處理，支持聯(lián)邦計(jì)算。

MaxCompute積累了阿里多年雙11自動(dòng)優(yōu)化和穩(wěn)定可靠能力，這一點(diǎn)是任何Hadoop商業(yè)版產(chǎn)品所不具備的， MaxCompute憑借先發(fā)優(yōu)勢(shì)和阿里持續(xù)自身業(yè)務(wù)錘煉，讓產(chǎn)品非常成熟穩(wěn)定。

MaxCompute產(chǎn)品架構(gòu)和周邊生態(tài)

MaxCompute是基于大數(shù)據(jù)技術(shù)的數(shù)倉(cāng)，采用了自研的分布式存儲(chǔ)引擎pangu、分布式資源管理調(diào)度器fuxi，和分布式高性能SQL引擎，與開(kāi)源的HDFS、Yarn、Hive+Spark SQL關(guān)系對(duì)等，但能力全面領(lǐng)先開(kāi)源。MaxCompute的存儲(chǔ)包括數(shù)倉(cāng)schema on write模式所需的庫(kù)表，也包括最近開(kāi)放的volume非結(jié)構(gòu)化存儲(chǔ)。MaxCompute采用了大數(shù)據(jù)存算分離的架構(gòu)，可以在大規(guī)模場(chǎng)景下進(jìn)一步的降低成本，降低客戶TCO。MaxCompute提供了沙箱運(yùn)行環(huán)境，讓用戶的UDF和業(yè)務(wù)代碼更安全也更靈活的運(yùn)行在多租環(huán)境中，免去了在數(shù)據(jù)外部由用戶管理私有代碼的麻煩和限制。

MaxCompute通過(guò)tunnel服務(wù)，收斂了數(shù)據(jù)入倉(cāng)的通道，對(duì)外只暴漏tunnel endpoint，讓數(shù)據(jù)出入倉(cāng)更安全，同時(shí)檢查文件格式、收集元數(shù)據(jù)，用于后續(xù)讀寫(xiě)優(yōu)化，以極小的代價(jià)獲得相比Hive 近一個(gè)數(shù)量級(jí)的性能領(lǐng)先差異，這正是數(shù)倉(cāng)模式的優(yōu)勢(shì)所在。MaxCompute還提供了web控制臺(tái)、IDE studio、CMD、SDK等多種連接方式， MMA遷移工具幫助用戶快速遷移到MaxCompute，Lemming提供邊緣端的采集、計(jì)算和云邊協(xié)同計(jì)算。

MaxCompute對(duì)接OSS數(shù)據(jù)湖對(duì)象存儲(chǔ)，通過(guò)DLF獲取湖上元數(shù)據(jù)，可以做到湖倉(cāng)一體聯(lián)邦，這時(shí)MaxCompute是倉(cāng)，OSS是湖。對(duì)接客戶的Hadoop系統(tǒng)，通過(guò)自動(dòng)獲取hms中元數(shù)據(jù)，自動(dòng)映射hive database為MaxCompute 項(xiàng)目的external project，免去建外表即可直接將倉(cāng)內(nèi)數(shù)據(jù)與hive、HDFS數(shù)據(jù)關(guān)聯(lián)計(jì)算，這時(shí)MaxCompute是倉(cāng)，Hadoo是湖。

MaxCompute周邊的二方生態(tài)和三方生態(tài)也構(gòu)成了完整的數(shù)據(jù)鏈路和大數(shù)據(jù)解決方案。MaxCompute可以通過(guò)Dataworks數(shù)據(jù)集成獲取批加載的數(shù)據(jù)，還可以直接對(duì)接Flink、Kafka、Datahub等消息隊(duì)列或流式數(shù)據(jù)，實(shí)時(shí)入倉(cāng)。Hologres可與MaxCompute無(wú)縫集成，權(quán)限互認(rèn)、pangu直讀，基于數(shù)倉(cāng)模型直接獲得交互式分析的高并發(fā)、低延時(shí)能力。MaxCompute的黃金搭檔DataWorks是一套與MaxCompute一起發(fā)展起來(lái)的開(kāi)發(fā)治理工具，有了DataWorks可以更好的發(fā)揮MC的能力和優(yōu)勢(shì)。

MaxCompute還支持PAI、ES、OS以及ADB、SLS等二方引擎，實(shí)現(xiàn)機(jī)器學(xué)習(xí)、檢索、數(shù)據(jù)集市分析、日志處理等能力。并支持QuickBI、DataV等報(bào)表、dashboard、大屏應(yīng)用。數(shù)據(jù)中臺(tái)治理工具Dataphin、DataQ都將基于MaxCompute的多年阿里最佳實(shí)踐，產(chǎn)品化賦能客戶。更有Tableau、帆軟等三方生態(tài)工具已經(jīng)與MaxCompute互認(rèn)，給用戶更多選擇。

關(guān)于數(shù)據(jù)安全的問(wèn)題

可以從四個(gè)方面預(yù)設(shè)數(shù)據(jù)安全問(wèn)題，下面對(duì)MaxCompute數(shù)據(jù)安全能力的解讀會(huì)對(duì)應(yīng)到這些問(wèn)題上，解決企業(yè)數(shù)據(jù)安全的問(wèn)題，保障數(shù)據(jù)安全。

MaxCompute安全體系

按照防數(shù)據(jù)濫用、防數(shù)據(jù)泄露、防數(shù)據(jù)丟失這個(gè)三個(gè)點(diǎn)，看下MaxCompute的安全體系核心功能。先從MaxCompute的數(shù)據(jù)安全核心能力開(kāi)始。

防數(shù)據(jù)濫用包含：細(xì)粒度的權(quán)限管理(ACL/Policy/Role)、Label Security分級(jí)管理

防數(shù)據(jù)泄露包含：認(rèn)證、租戶隔離、項(xiàng)目空間保護(hù)、網(wǎng)絡(luò)隔離

MaxCompute和DataWorks關(guān)系，以及MaxCompute隔離機(jī)制

在當(dāng)前云上體系中，用戶需在阿里云注冊(cè)一個(gè)主賬號(hào)，才可以申請(qǐng)開(kāi)通MaxCompute，創(chuàng)建項(xiàng)目空間。

MaxCompute的付費(fèi)模式有兩種，按量付費(fèi)(后付費(fèi)共享資源)和包年包月(預(yù)付費(fèi)獨(dú)享資源)，當(dāng)開(kāi)通MaxCompute項(xiàng)目時(shí)，需要開(kāi)通DataWorks工作空間，DataWorks可以理解為一站式開(kāi)發(fā)治理工具，包含數(shù)據(jù)采集、腳本開(kāi)發(fā)、調(diào)度、數(shù)據(jù)服務(wù)等。MaxCompute包含表、字段、UDF、resource、元數(shù)據(jù)等。DataWorks一個(gè)工作空間可以幫忙兩個(gè)項(xiàng)目，也就是兩個(gè)MaxCompute project，一個(gè)開(kāi)發(fā)環(huán)境一個(gè)生產(chǎn)環(huán)境，這兩個(gè)project是隔離的，防止生產(chǎn)環(huán)境中關(guān)鍵敏感數(shù)據(jù)的泄露。

MaxCompute訪問(wèn)與控制

當(dāng)前MaxCompute訪問(wèn)認(rèn)證鑒權(quán)經(jīng)過(guò)以下步驟，身份認(rèn)證用于身份識(shí)別；請(qǐng)求源檢查（ip白名單）用戶檢查是否設(shè)置網(wǎng)絡(luò)隔離；項(xiàng)目空間狀態(tài)檢查，檢查項(xiàng)目空間是否開(kāi)啟項(xiàng)目保護(hù)等安全設(shè)置；檢查MaxCompute項(xiàng)目的labelsecurity|rle|policy|acl等權(quán)限管理規(guī)則。接下來(lái)就按照這個(gè)順序講一下MaxCompute的安全機(jī)制，到權(quán)限管理部分再詳細(xì)展開(kāi)講一下權(quán)限體系。

認(rèn)證流程

• 每個(gè)阿里云賬號(hào)都需要?jiǎng)?chuàng)建相應(yīng)的訪問(wèn)密鑰AccessKey，主要用于在阿里云各產(chǎn)品間互相認(rèn)證使用權(quán)限。
• 用戶可以在云控制臺(tái)中自行創(chuàng)建AccessKey。AccessKey由AccessKeyId和AccessKeySecret組成，其中AccessKeyId是公開(kāi)的，用于標(biāo)識(shí)用戶身份，AccessKeySecret是秘密的，用于用戶身份的鑒別。AccessKey可以更換。
• 當(dāng)用戶向MaxCompute發(fā)送請(qǐng)求時(shí)，首先需要將發(fā)送的請(qǐng)求按照MaxCompute指定的格式生成簽名字符串，然后使用AccessKeySecret對(duì)簽名字符串進(jìn)行加密以生成請(qǐng)求簽名。MaxCompute收到用戶請(qǐng)求后，通過(guò)AccessKeyId找到對(duì)應(yīng)的AccessKeySecret，以同樣的方法提取簽名字符串和驗(yàn)證碼，如果計(jì)算出來(lái)的驗(yàn)證碼和提供的一致即認(rèn)為該請(qǐng)求是有效的；否則，MaxCompute將拒絕處理這次請(qǐng)求，并返回HTTP 403錯(cuò)誤。

當(dāng)用戶真正發(fā)生請(qǐng)求時(shí)，會(huì)把（Accessld、請(qǐng)求時(shí)間、請(qǐng)求參數(shù)）+簽名以固定的格式發(fā)送到MaxCompute前端，MaxCompute前端包含HttpServer和tunnel（數(shù)據(jù)上傳下載通道）。這個(gè)過(guò)程需要檢查用戶請(qǐng)求是否過(guò)期。當(dāng)MaxCompute拿到用戶請(qǐng)求的AK信息，跟AK服務(wù)上的AK信息做對(duì)比，如果AK信息一致，則代表用戶請(qǐng)求有效。MaxCompute的數(shù)據(jù)資源及計(jì)算資源的訪問(wèn)入口都需經(jīng)過(guò)身份驗(yàn)證。用戶認(rèn)證 檢查請(qǐng)求 Request 發(fā)送者的真實(shí)身份：正確驗(yàn)證消息發(fā)送方的真實(shí)身份，正確驗(yàn)證接收到的消息在途中是否被篡改。云賬號(hào)認(rèn)證使用消息簽名機(jī)制，可以保證消息在傳輸過(guò)程中的完整性 Integrity 和真實(shí)性 Authenticity。

RAM子賬號(hào)

• MaxCompute支持RAM鑒權(quán)。RAM（Resource Access Management）是阿里云提供的資源訪問(wèn)控制服務(wù)。通過(guò)RAM，主賬號(hào)可以創(chuàng)建出子賬號(hào)，子賬號(hào)從屬于主賬號(hào)，所有資源都屬于主賬號(hào)，主賬號(hào)可以將所屬資源的訪問(wèn)權(quán)限授予給子賬號(hào)。
• 用戶對(duì)MaxCompute資源訪問(wèn)分為兩種，即用戶主賬號(hào)訪問(wèn)和用戶子賬號(hào)訪問(wèn)。主賬號(hào)是阿里云的一個(gè)賬號(hào)主體，主賬號(hào)下可以包含不同的子賬號(hào)以便用戶可以靈活使用。MaxCompute支持主子賬號(hào)的權(quán)限訪問(wèn)策略。
• 當(dāng)用戶使用主賬號(hào)訪問(wèn)時(shí)，MaxCompute會(huì)校驗(yàn)該主賬號(hào)是否為對(duì)應(yīng)資源的所有者，只有對(duì)應(yīng)資源的所有者才具備訪問(wèn)該資源的權(quán)限。
• 當(dāng)用戶使用子賬號(hào)訪問(wèn)時(shí)，此時(shí)會(huì)觸發(fā)子賬號(hào)授權(quán)策略。MaxCompute會(huì)校驗(yàn)該子賬號(hào)是否被對(duì)應(yīng)主賬號(hào)授予了訪問(wèn)該資源的權(quán)限，同時(shí)也會(huì)校驗(yàn)該子賬號(hào)對(duì)應(yīng)的主賬號(hào)是否具有該資源的所有者權(quán)限。

一個(gè)主賬號(hào)可以把當(dāng)前主賬號(hào)下的RAM賬號(hào)加入MaxCompute project，也可以把其他主賬號(hào)加入MaxCompute project，但不可以把其他主賬號(hào)下的RAM賬號(hào)加入MaxCompute project。

RAM Role

• RAM角色（RAM role）與RAM用戶一樣，都是RAM身份類型的一種。RAM角色是一種虛擬用戶，有確定的身份，可以被賦予一組權(quán)限策略，但沒(méi)有確定的登錄密碼或訪問(wèn)密鑰。RAM角色需要被一個(gè)受信的實(shí)體用戶扮演，扮演成功后實(shí)體用戶將獲得RAM角色的安全令牌，使用這個(gè)安全令牌就能以角色身份訪問(wèn)被授權(quán)的資源。
• 您可以通過(guò)RAM訪問(wèn)控制臺(tái)創(chuàng)建RAM角色并修改RAM角色的權(quán)限策略，然后將RAM角色添加至MaxCompute項(xiàng)目。后續(xù)項(xiàng)目中的RAM用戶可以扮演該RAM角色執(zhí)行操作。
• RAM角色為訪問(wèn)控制平臺(tái)中的角色，非MaxCompute項(xiàng)目?jī)?nèi)的角色。
• RAM Role是跨產(chǎn)品之間訪問(wèn)數(shù)據(jù)的一個(gè)角色

角色

• 角色(Role)是MaxCompute內(nèi)一組訪問(wèn)權(quán)限的集合。當(dāng)需要對(duì)一組用戶賦予相同的權(quán)限時(shí)，可以使用角色來(lái)授權(quán)。基于角色的授權(quán)可以大大簡(jiǎn)化授權(quán)流程，降低授權(quán)管理成本。當(dāng)需要對(duì)用戶授權(quán)時(shí)，應(yīng)當(dāng)優(yōu)先考慮是否應(yīng)該使用角色來(lái)完成。
• 一個(gè)用戶可以被分配到多個(gè)角色。從而擁有這些角色的權(quán)限的合集。
• MaxCompute角色有兩種類別賬戶級(jí)別和項(xiàng)目級(jí)別。

租戶

• 每個(gè)賬號(hào)是一個(gè)租戶（建議一個(gè)一級(jí)部門(mén)對(duì)應(yīng)一個(gè)獨(dú)立的租戶），租戶間的數(shù)據(jù)安全隔離是在邏輯層控制的，并非物理隔離。
• 租戶是計(jì)量和計(jì)費(fèi)的主體。
• 通過(guò)多租戶機(jī)制，各部門(mén)可以獨(dú)立管理自己的數(shù)據(jù)。除非顯式授權(quán)，否則租戶之間無(wú)法訪問(wèn)對(duì)方的數(shù)據(jù)。
• 租戶可以擁有一個(gè)或多個(gè)項(xiàng)目。來(lái)自多個(gè)部門(mén)成員也可以共用一個(gè)項(xiàng)目（類似虛擬聯(lián)合項(xiàng)目組）
• 系統(tǒng)提供統(tǒng)一的權(quán)限管理模型，即不管是項(xiàng)目?jī)?nèi)部的數(shù)據(jù)授權(quán)，還是項(xiàng)目之間的數(shù)據(jù)授權(quán)，都遵循同一套權(quán)限管理機(jī)制。
• 在物理層面，如果存在多個(gè)集群，那么每個(gè)租戶歸屬其中一個(gè)集群，即一個(gè)租戶不能跨多個(gè)集群存儲(chǔ)數(shù)據(jù)。但是在邏輯層面，用戶是無(wú)需關(guān)心該租戶的實(shí)際物理存儲(chǔ)集群的，底層集群的分布對(duì)用戶透明。

項(xiàng)目空間用戶管理

Alice 創(chuàng)建一個(gè) 名為 WonderLand的項(xiàng)目，自動(dòng)成為 Owner

沒(méi)有 Alice 的授權(quán)，其他任何人都無(wú)法訪問(wèn) WonderLand

Alice 要授權(quán) Bob 允許他訪問(wèn) WonderLand中的一些對(duì)象：

首先，Bob 要有一個(gè)合法的云賬號(hào)或者是Alice的RAM子賬號(hào)

然后，Alice 要 把 Bob 的賬號(hào)加到項(xiàng)目中來(lái)

最后，賦一些對(duì)象的權(quán)限給 Bob

Alice 要禁止 Bob 訪問(wèn)項(xiàng)目，則直接將他的賬號(hào)從項(xiàng)目中移除即可

Bob 雖然被移除出了項(xiàng)目，但他之前被授予的權(quán)限仍然保留在項(xiàng)目中。

下次一旦他被 Alice 加入同一個(gè)項(xiàng)目，原有的權(quán)限將會(huì)被自動(dòng)激活。 除非徹底清除Bob的權(quán)限。

控制訪問(wèn)

IP白名單

• MaxCompute支持在訪問(wèn)認(rèn)證基礎(chǔ)上增強(qiáng)的一種以IP白名單的方式，進(jìn)行訪問(wèn)控制。
• 可以配置project訪問(wèn)機(jī)器的白名單來(lái)進(jìn)行限制Ip訪問(wèn)。
• 如果使用應(yīng)用系統(tǒng)（如ODPSCMD或者SDK客戶端）進(jìn)行項(xiàng)目空間數(shù)據(jù)訪問(wèn)，需要配置ODPSCMD或者SDK客戶端所在的部署機(jī)器的IP地址。如果使用了代理服務(wù)器或者經(jīng)過(guò)了多跳代理服務(wù)器來(lái)訪問(wèn)MaxCompute服務(wù)實(shí)例，需要添加的IP地址為最后一跳代理服務(wù)器的IP地址。
• 一些其他需要訪問(wèn)MaxCompute服務(wù)實(shí)例中所有project的其他上層業(yè)務(wù)系統(tǒng)IP發(fā)生變化的時(shí)候，如果沒(méi)有全局性IP白名單配置，需要找到所有設(shè)置白名單的project列表一個(gè)個(gè)進(jìn)行新IP的修改配置，非常容易出錯(cuò)。為此MaxCompute實(shí)現(xiàn)了系統(tǒng)級(jí)別IP白名單功能，系統(tǒng)級(jí)別IP白名單是MaxCompute實(shí)例服務(wù)級(jí)全局性配置。

當(dāng)用戶請(qǐng)求提供的IP是否跟MaxCompute元數(shù)據(jù)存儲(chǔ)的白名單匹配，做一個(gè)項(xiàng)目級(jí)別的檢查，如果IP匹配允許訪問(wèn)。白名單格式允許固定IP、掩碼或者IP段的方式。可以查看下面的例子

作用范圍：項(xiàng)目空間

白名單格式：101.132.236.134、100.116.0.0/16、101.132.236.134-101.132.236.144

設(shè)置白名單：adminConsole；setprojectodps.security.ip.whitelist=101.132.236.134,100.116.0.0/16

關(guān)閉白名單：清空白名單*

VPC訪問(wèn)MaxCompute

MaxCompute作為阿里云開(kāi)發(fā)的海量數(shù)據(jù)處理平臺(tái)，在安全性方面需要滿足安全隔離規(guī)范的要求。因此，MaxCompute團(tuán)隊(duì)增加了MaxCompute對(duì)專有網(wǎng)絡(luò)（VPC）的支持，為MaxCompute配置使用限制，即MaxCompute VPC的限制。目前MaxCompute支持VPC的具體情況如下所示：

• 經(jīng)典網(wǎng)絡(luò)/VPC網(wǎng)絡(luò)/Internet網(wǎng)絡(luò)三網(wǎng)隔離，只能訪問(wèn)各自對(duì)應(yīng)的endpoint及VIP。
• 經(jīng)典網(wǎng)絡(luò)能夠訪問(wèn)所有project 。
• 沒(méi)有配置VPCID及IP白名單的project可以被三種網(wǎng)絡(luò)中請(qǐng)求通過(guò)的相應(yīng)域名訪問(wèn)，沒(méi)有限制。
• 配置了VPC_ID的project只能被對(duì)應(yīng)的VPC訪問(wèn)。
• 配置了IP白名單的project只能被對(duì)應(yīng)的機(jī)器訪問(wèn) 。
• 對(duì)于加了代理的訪問(wèn)請(qǐng)求，判斷為最后一跳代理IP及VPCID為準(zhǔn) 。

下圖為具體示例

下圖綠色部分為經(jīng)典網(wǎng)絡(luò)部分，藍(lán)色為用戶本身的VPC網(wǎng)絡(luò)，紅色為公共云訪問(wèn)。

• 經(jīng)典網(wǎng)絡(luò)中只能訪問(wèn)Intranet_inner
• VPC網(wǎng)絡(luò)中中只能訪問(wèn)Intranet_public
• Internet網(wǎng)絡(luò)中只能訪問(wèn)Internet_vip
• 經(jīng)典網(wǎng)絡(luò)能夠訪問(wèn)所有project
• 配置了VPC_ID的project只能被對(duì)應(yīng)的VPC訪問(wèn)
• 配置了Ip白名單的project只能被對(duì)應(yīng)機(jī)器訪問(wèn)
• 沒(méi)有配置VPCID及Ip白名單的project可以被三種網(wǎng)絡(luò)中請(qǐng)求通過(guò)相應(yīng)域名訪問(wèn)，沒(méi)有限制，如P5
• 對(duì)于加了代理的訪問(wèn)請(qǐng)求，判斷為最后一跳代理IP及VPCId為準(zhǔn)
• 左側(cè)連接線為準(zhǔn)，其他連接將不能訪問(wèn)

公共云MaxCompute訪問(wèn)外部網(wǎng)絡(luò)

服務(wù)映射方案（外網(wǎng)）

適用于通過(guò)UDF或外部表訪問(wèn)處于外網(wǎng)中的目標(biāo)IP或域名的場(chǎng)景。需要提工單申請(qǐng)，如果目標(biāo)IP或域名不存在安全限制，審核通過(guò)后即可訪問(wèn)目標(biāo)IP或域名。

服務(wù)映射方案（VPC）

適用于MaxCompute與VPC間的網(wǎng)絡(luò)已連接，需要通過(guò)UDF或外部表訪問(wèn)處于VPC網(wǎng)絡(luò)中的單個(gè)IP或域名的場(chǎng)景。只需要將MaxCompute項(xiàng)目所屬地域的IP網(wǎng)段添加至VPC的安全組，并將目標(biāo)IP或域名所屬VPC實(shí)例添加至MaxCompute項(xiàng)目，完成雙向授權(quán)后，即可訪問(wèn)目標(biāo)IP或域名。

專有網(wǎng)絡(luò)連接方案

適用于通過(guò)外部表、UDF或基于湖倉(cāng)一體架構(gòu)訪問(wèn)處于VPC網(wǎng)絡(luò)下的RDS、HBase集群、Hadoop集群場(chǎng)景。您需要通過(guò)VPC網(wǎng)絡(luò)管理控制臺(tái)進(jìn)行授權(quán)以及配置安全組，在MaxCompute控制臺(tái)創(chuàng)建MaxCompute與VPC網(wǎng)絡(luò)之間的連接，配置RDS、HBase集群、Hadoop集群等目標(biāo)服務(wù)安全組，以此來(lái)建立MaxCompute與目標(biāo)服務(wù)間的網(wǎng)絡(luò)通路。

直接連通方案

適用于通過(guò)UDF或外部表訪問(wèn)阿里云OSS、OTS（Tablestore）服務(wù)的場(chǎng)景。OSS、OTS服務(wù)與MaxCompute連通無(wú)需申請(qǐng)開(kāi)通專有網(wǎng)絡(luò)。

項(xiàng)目空間保護(hù)

當(dāng)有project：WonderLand、SecretGarden，可能有以下風(fēng)險(xiǎn)導(dǎo)致數(shù)據(jù)流出。
1、SQL：create table SecretGarden.Gotit as select * from WonderLand.customers;

2、MR：通過(guò)MR將表讀出，然后寫(xiě)入SecretGarden中去

3、導(dǎo)出：通過(guò)數(shù)據(jù)導(dǎo)出工具，將該表數(shù)據(jù)導(dǎo)出

4、PAI：將數(shù)據(jù)間接導(dǎo)出

5、其他.....

當(dāng)啟動(dòng)項(xiàng)目保護(hù)模式，也就是設(shè)置ProjectProtection規(guī)則：數(shù)據(jù)只能流入，不能流出
set ProjectProtection=true

設(shè)置后，上述的4種操作將統(tǒng)統(tǒng)失效，因?yàn)樗鼈兌加|犯了ProjectProtection規(guī)則。

當(dāng)啟動(dòng)項(xiàng)目保護(hù)但依舊需要對(duì)某些表可以允許流出時(shí)，有兩種方案

方案1：在設(shè)置項(xiàng)目保護(hù)（ProjectProtection）的同時(shí)，附加一個(gè)例外策略(exception):

set ProjectProtection=true with exception ;

方案2：將兩個(gè)相關(guān)的項(xiàng)目空間設(shè)置為互信（TrustedProject），則數(shù)據(jù)的流向?qū)⒉粫?huì)被視為違規(guī)：

add trustedproject=SecretGarden;

應(yīng)用場(chǎng)景

安全特性：

受保護(hù)的MC項(xiàng)目，允許數(shù)據(jù)流入，禁止未顯式授權(quán)的數(shù)據(jù)輸出

應(yīng)用場(chǎng)景：

避免將高敏感的數(shù)據(jù)（例如企業(yè)員工工資信息）被隨意導(dǎo)出到不受保護(hù)的項(xiàng)目中

實(shí)現(xiàn)邏輯：將高敏感的數(shù)據(jù)所在的MaxCompute項(xiàng)目設(shè)置為強(qiáng)保護(hù)模式，這樣該數(shù)據(jù)只能在當(dāng)前受保護(hù)的項(xiàng)目中被訪問(wèn)到，用戶即便已獲得數(shù)據(jù)訪問(wèn)權(quán)限也無(wú)法在項(xiàng)目之外讀取這份數(shù)據(jù)或者將數(shù)據(jù)導(dǎo)出項(xiàng)目。經(jīng)過(guò)加工或脫敏后產(chǎn)生的新數(shù)據(jù)，經(jīng)過(guò)顯示授權(quán)之后，可以流出受保護(hù)的項(xiàng)目。

安全特性：

受保護(hù)的MaxCompute項(xiàng)目，對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行多因素校驗(yàn)，包括數(shù)據(jù)流出目的地（IP地址、目標(biāo)項(xiàng)目名稱）、限制數(shù)據(jù)訪問(wèn)時(shí)間區(qū)間等20多個(gè)維度。即便用戶賬號(hào)密碼被盜取，也不能隨意拿走數(shù)據(jù)。

應(yīng)用場(chǎng)景：

擔(dān)保模式的數(shù)據(jù)交換

場(chǎng)景說(shuō)明：兩個(gè)單位要使用對(duì)方的敏感數(shù)據(jù)，但是又不愿意、不允許把數(shù)據(jù)直接給到對(duì)方，怎么做？

實(shí)現(xiàn)邏輯：雙方將數(shù)據(jù)導(dǎo)入到受保護(hù)的項(xiàng)目中（黑盒子），在受保護(hù)的項(xiàng)目中完成兩邊數(shù)據(jù)的整合加工，產(chǎn)生一個(gè)不敏感的結(jié)果數(shù)據(jù)，經(jīng)過(guò)顯示授權(quán)之后，可以流出受保護(hù)的項(xiàng)目，返回給雙方。這樣雙方都使用到了對(duì)方的數(shù)據(jù)，卻拿不走。

數(shù)據(jù)訪問(wèn)控制機(jī)制

權(quán)限檢查順序

MaxCompute的權(quán)限檢查順序如下：LabelSecurity Label檢查--> plicy(DENY直接返回）policy檢查--> ACL（綁定role）ACL檢查，role和用戶權(quán)限疊加-->package 跨project的權(quán)限檢查。我們也按照這個(gè)順序講一下MaxCompute的權(quán)限相關(guān)的功能。

授權(quán)方式

授權(quán)需要三部分內(nèi)容，主體(被授權(quán)人)，客體（MaxCompute項(xiàng)目中的對(duì)象或行為），操作（與客體類型有關(guān)）。授權(quán)時(shí)，需要把用戶加入項(xiàng)目?jī)?nèi)，再分配一個(gè)或多個(gè)角色，這樣就會(huì)繼承角色內(nèi)所有的權(quán)限。

授權(quán)的內(nèi)容包括：表（可以按字段授權(quán)）、函數(shù)、資源

有3種訪問(wèn)控制方式：ACL（Access Control List）、Policy、Label

授權(quán)對(duì)象：?jiǎn)蝹€(gè)用戶、角色

應(yīng)用場(chǎng)景描述：

當(dāng)租戶Owner決定對(duì)另一個(gè)用戶B授權(quán)時(shí)，首先將該用戶B添加到自己的租戶中來(lái)。只有添加到租戶中的用戶才能夠被授權(quán)。用戶B加入租戶之后，可以被分配到一個(gè)或多個(gè)角色（也可以不分配任何角色），那么該用戶B將自動(dòng)繼承所有這些角色所擁有的各種權(quán)限。當(dāng)一個(gè)用戶離開(kāi)此項(xiàng)目團(tuán)隊(duì)時(shí)，租戶Owner需要將該用戶從租戶中移除。用戶一旦從租戶中被移除，該用戶將不再擁有任何訪問(wèn)此租戶資源的權(quán)限。

ACL(Access Control Lists)授權(quán)

ACL權(quán)限控制為白名單授權(quán)機(jī)制，即允許用戶或角色對(duì)指定對(duì)象執(zhí)行指定操作。ACL權(quán)限控制方式簡(jiǎn)單明了，可實(shí)現(xiàn)精準(zhǔn)授權(quán)。

• 主體：被授權(quán)人，必須存在于project中。
• 授權(quán)人為執(zhí)行授權(quán)操作的用戶。授權(quán)人需要具備為目標(biāo)客體和目標(biāo)操作授權(quán)的權(quán)限，才可以執(zhí)行授權(quán)操作。
• 使用阿里云賬號(hào)執(zhí)行授權(quán)操作時(shí)，支持為當(dāng)前賬號(hào)下的RAM用戶和其他阿里云賬號(hào)授權(quán)。
• 使用RAM用戶賬號(hào)執(zhí)行授權(quán)操作時(shí)，僅支持為隸屬同一個(gè)阿里云賬號(hào)的其他RAM用戶授權(quán)，不支持為其他賬號(hào)授權(quán)。
• 客體：對(duì)象：項(xiàng)目、表/視圖、字段、函數(shù)、資源、實(shí)例、Package
• 角色(role)是一組權(quán)限的集合
• 對(duì)象刪除時(shí)，所有相關(guān)的ACL也被刪除

因此向項(xiàng)目中添加用戶并授權(quán)可以有以下兩種方式，通過(guò)添加用戶并授權(quán)，或者創(chuàng)建角色，對(duì)角色授權(quán)，添加用戶，再對(duì)用戶授予角色。

示例

grant CreateTable, CreateInstance, List on project myprj to user Alice;

增加用戶權(quán)限

grant worker to aliyun$abc@aliyun.com;

加用戶進(jìn)角色

revoke CreateTable on project myprj from user Alice;

刪除用戶權(quán)限

權(quán)限說(shuō)明

Policy授權(quán)

• Policy授權(quán)是一種新的授權(quán)機(jī)制，它主要解決ACL授權(quán)機(jī)制無(wú)法解決的一些復(fù)雜授權(quán)場(chǎng)景，比如：
• 一次操作對(duì)一組對(duì)象進(jìn)行授權(quán)，如所有的函數(shù)、所有以 “abc_” 開(kāi)頭的表。
• 帶限制條件的授權(quán)，如授權(quán)只會(huì)在指定的時(shí)段內(nèi)才會(huì)生效、當(dāng)請(qǐng)求者從指定的IP地址發(fā)起請(qǐng)求時(shí)授權(quán)才會(huì)生效、或者只允許用戶使用SQL（而不允許其它類型的Task）來(lái)訪問(wèn)某張表。
• Policy授權(quán)機(jī)制使用訪問(wèn)策略語(yǔ)言(Access Policy)來(lái)描述授權(quán)。策略語(yǔ)言目前支持20種訪問(wèn)條件（即從20個(gè)維度來(lái)限制對(duì)一張表的訪問(wèn)，例如訪問(wèn)來(lái)源IP地址）

Policy結(jié)構(gòu)和示例

當(dāng)用戶已經(jīng)被賦予內(nèi)置角色時(shí)，如果需要對(duì)用戶的操作權(quán)限進(jìn)行更精細(xì)化的管理，無(wú)法通過(guò)ACL權(quán)限控制方案解決此類授權(quán)問(wèn)題。此時(shí)，可以通過(guò)Policy權(quán)限控制方案，新增角色，允許或禁止角色操作項(xiàng)目中的對(duì)象，并將角色綁定至用戶后，即可實(shí)現(xiàn)精細(xì)化管控用戶權(quán)限。

Policy支持的語(yǔ)法結(jié)構(gòu)如下，可以對(duì)主體、行為、客體、條件、是否效果進(jìn)行規(guī)則定義，例如對(duì)訪問(wèn)時(shí)間、訪問(wèn)ip進(jìn)行限制。

ACL和Policy差異

LabelSecurity

前面兩種權(quán)限控制方式（ACL和Policy）都屬于DAC（即自主訪問(wèn)控制Discretionary Access Control）

基于標(biāo)簽的安全(LabelSecurity)是項(xiàng)目空間級(jí)別的一種強(qiáng)制訪問(wèn)控制策略(Mandatory Access Control, MAC)，它的引入是為了讓項(xiàng)目空間管理員能更加靈活地控制用戶對(duì)列級(jí)別敏感數(shù)據(jù)的訪問(wèn)。

DAC vs MAC

------------------------

強(qiáng)制訪問(wèn)控制機(jī)制(MAC)獨(dú)立于自主訪問(wèn)控制機(jī)制(DAC)。為了便于理解，MAC與DAC的關(guān)系可以用下面的例子來(lái)做個(gè)類比。

對(duì)于一個(gè)國(guó)家來(lái)說(shuō)（類比一個(gè)項(xiàng)目），這個(gè)國(guó)家公民要想開(kāi)車(chē)(類比讀數(shù)據(jù)操作)，必須先申請(qǐng)獲得駕照(類比申請(qǐng)SELECT權(quán)限)。這些就屬于DAC考慮的范疇。

但由于這個(gè)國(guó)家交通事故率一直居高不下，于是該國(guó)新增了一條法律：禁止酒駕。此后，所有想開(kāi)車(chē)的人除了持有駕照之外，還必須不能喝酒。這個(gè)禁止酒駕就相當(dāng)于禁止讀取敏感度高的數(shù)據(jù)。這就屬于MAC考慮的范疇。

LabelSecurity安全等級(jí)

• LabelSecurity需要將數(shù)據(jù)和訪問(wèn)數(shù)據(jù)的人進(jìn)行安全等級(jí)劃分。數(shù)據(jù)敏感等級(jí)取值范圍為0~9。數(shù)值越大，安全級(jí)別越高。用戶或角色最高可訪問(wèn)的敏感等級(jí)與數(shù)據(jù)敏感等級(jí)標(biāo)簽相對(duì)應(yīng)。
• 在政府和金融機(jī)構(gòu)的最佳實(shí)踐中，一般將數(shù)據(jù)的敏感度標(biāo)記分為四類：0級(jí) (不保密, Unclassified), 1級(jí) (秘密, Confidential), 2級(jí) (機(jī)密, Sensitive), 3級(jí) (高度機(jī)密, Highly Sensitive)。
• 在對(duì)數(shù)據(jù)和人分別設(shè)置安全等級(jí)標(biāo)記之后，LabelSecurity的默認(rèn)安全策略如下：
• (No-ReadUp) 不允許用戶讀取敏感等級(jí)高于用戶等級(jí)的數(shù)據(jù)，除非有顯式授權(quán)。
• (Trusted-User) 允許用戶寫(xiě)任意等級(jí)的數(shù)據(jù)，新創(chuàng)建的數(shù)據(jù)默認(rèn)為0級(jí)（不保密）。
• 租戶中的LabelSecurity安全機(jī)制默認(rèn)是關(guān)閉的，租戶Owner可以自行開(kāi)啟。LabelSecurity安全機(jī)制一旦開(kāi)啟，上述的默認(rèn)安全策略將被強(qiáng)制執(zhí)行。當(dāng)用戶訪問(wèn)數(shù)據(jù)表時(shí)，除了必須擁有Select權(quán)限外，還必須獲得讀取敏感數(shù)據(jù)的相應(yīng)許可等級(jí)。

比如下方用戶A的Label是3級(jí)，用戶有這張表的select權(quán)限，應(yīng)該是可以查到這張表所有的數(shù)據(jù)，但開(kāi)啟 LabelSecurity之后，安全等級(jí)為4級(jí)的數(shù)據(jù)是訪問(wèn)不到的。

LabelSecurity應(yīng)用場(chǎng)景

安全特性：

• 不允許用戶讀取敏感等級(jí)高于用戶等級(jí)的數(shù)據(jù)(No-ReadUp)，除非有顯示授權(quán)

應(yīng)用場(chǎng)景：

• 限制所有非Admin用戶對(duì)一張表的某些敏感的列的讀訪問(wèn)

實(shí)現(xiàn)邏輯：把Admin用戶設(shè)置為最高等級(jí)，非Admin用戶用戶設(shè)置為某個(gè)普通等級(jí)（例如Label=2），那么除了Admin用戶之外，其他所有人都訪問(wèn)不了 Label>2 的數(shù)據(jù)。

安全特性：

• 不允許用戶寫(xiě)敏感等級(jí)不高于用戶等級(jí)的數(shù)據(jù)(No-WriteDown)

應(yīng)用場(chǎng)景：

• 限制已獲得敏感數(shù)據(jù)訪問(wèn)許可的用戶肆意傳播和復(fù)制敏感數(shù)據(jù)

場(chǎng)景說(shuō)明：張三由于業(yè)務(wù)需要而獲得了等級(jí)為3的敏感數(shù)據(jù)的訪問(wèn)權(quán)限。但管理員仍然擔(dān)心張三可能會(huì)將敏感等級(jí)為3的那些數(shù)據(jù)寫(xiě)入到敏感等級(jí)為2的列中，從而導(dǎo)致敏感等級(jí)為2的李四也能訪問(wèn)這份數(shù)據(jù)。

實(shí)現(xiàn)邏輯：將安全策略設(shè)置為 No-WriteDown，從而禁止張三將數(shù)據(jù)寫(xiě)入低于他自身等級(jí)的數(shù)據(jù)列

Package授權(quán)（跨項(xiàng)目的數(shù)據(jù)分享）

Package是一種跨項(xiàng)目空間共享數(shù)據(jù)及資源的機(jī)制，主要用于解決跨項(xiàng)目空間的用戶授權(quán)問(wèn)題。

• 當(dāng)多個(gè)組織中的用戶協(xié)同工作時(shí)，數(shù)據(jù)提供方不方便把其他項(xiàng)目的用戶都加入自己的項(xiàng)目
• Package支持用戶跨project，跨組織進(jìn)行授權(quán)
• 數(shù)據(jù)提供方”打包授權(quán)后不管”
• Package優(yōu)先級(jí)高于項(xiàng)目空間保護(hù)

管理package 安裝package

管理package里面的資源 授權(quán)package的資源到本地用戶角色

管理package的授權(quán)項(xiàng)目

數(shù)據(jù)提供者可以在創(chuàng)建、添加資源、授權(quán)可安裝package項(xiàng)目的環(huán)節(jié)控制共享數(shù)據(jù)，數(shù)據(jù)消費(fèi)方可以在安裝package、首選package資源到本地用戶角色環(huán)節(jié)，管理數(shù)據(jù)使用和權(quán)限。

MaxCompute其他安全能力

再來(lái)看一下MaxCompute為了保證數(shù)據(jù)安全的其他平臺(tái)級(jí)支撐能力。

防數(shù)據(jù)濫用包含：定期審計(jì)

防數(shù)據(jù)泄露包含：沙箱隔離、存儲(chǔ)/傳輸加密

防數(shù)據(jù)丟失包含：備份恢復(fù)、容災(zāi)

系統(tǒng)安全--基于沙箱的縱深防御體系

MaxCompute中所有計(jì)算是在受限的沙箱中運(yùn)行的，多層次的應(yīng)用沙箱，從KVM級(jí)到Kernel級(jí)。系統(tǒng)沙箱配合鑒權(quán)管理機(jī)制，用來(lái)保證數(shù)據(jù)的安全，以避免出現(xiàn)內(nèi)部人員惡意或粗心造成服務(wù)器故障。用戶的業(yè)務(wù)進(jìn)程是托管在MaxCompute引擎?zhèn)葓?zhí)行，所以權(quán)限會(huì)有隔離。但用戶提交的UDF/MR程序可能會(huì)：

• 惡意耗盡集群資源(CPU, Memory, Network, Disk)；
• 直接訪問(wèn)Pangu文件，竊取或篡改其他用戶數(shù)據(jù)；
• 竊取Linux節(jié)點(diǎn)上飛天系統(tǒng)進(jìn)程的敏感數(shù)據(jù)（如Tubo的capability）；
• ......

MaxCompute不同于其他多租系統(tǒng)，會(huì)把用戶代碼放在外部環(huán)境中實(shí)現(xiàn)，然后通過(guò)接口對(duì)接。用戶需要在其他環(huán)境中實(shí)現(xiàn)、調(diào)試、對(duì)接，自己保證并發(fā)、安全等。MaxCompute全托管模式可以讓用戶的私有代碼通過(guò)沙箱環(huán)境，跑在MaxCompute的環(huán)境中，由MaxCompute實(shí)現(xiàn)并發(fā)和安全隔離，簡(jiǎn)單易用且完全自由的實(shí)現(xiàn)用戶自定義的邏輯。

安全審計(jì)

MaxCompute 還提供精準(zhǔn)的、細(xì)粒度的數(shù)據(jù)訪問(wèn)操作記錄，并會(huì)長(zhǎng)期保存。 MaxCompute平臺(tái)體系所依賴的功能服務(wù)模塊非常之多，我們可以把它稱之為底層服務(wù)棧。對(duì)于數(shù)據(jù)操作記錄來(lái)說(shuō)， MaxCompute 會(huì)收集服務(wù)棧上的所有操作記錄，從上層table/column級(jí)別的數(shù)據(jù)訪問(wèn)日志，一直到底層分布式文件系統(tǒng)上的數(shù)據(jù)操作日志。最底層分布式文件系統(tǒng)上處理的每一次數(shù)據(jù)訪問(wèn)請(qǐng)求，也都能追溯到MaxCompute哪個(gè)項(xiàng)目空間中的哪個(gè)用戶的哪個(gè)作業(yè)發(fā)起的數(shù)據(jù)訪問(wèn)。日志包括task、tunnel、endpoint訪問(wèn)等操作，以及授權(quán)、label、package 等信息，詳見(jiàn)元倉(cāng)或information_schema。

公共云實(shí)時(shí)審計(jì)日志，事中預(yù)警、事后分析

完整記錄用戶在MaxCompute項(xiàng)目?jī)?nèi)的操作行為。

接入阿里云Action Trail服務(wù)： 查看檢索+投遞（日志/OSS）。

滿足客戶實(shí)時(shí)審計(jì)、問(wèn)題回溯分析等需求。

存儲(chǔ)加密和傳輸加密

傳輸加密 MaxCompute采用Restfull的接口，服務(wù)器接入采用https，其任務(wù)調(diào)用及數(shù)據(jù)傳輸安全性由https保證

存儲(chǔ)加密 ，MaxCompute支持TDE透明加密，防拷貝。存儲(chǔ)加密支持MC托管密鑰，也支持基于KMS的BYOK（用戶自定義密鑰）， 支持AES256等主流加密算法，專有云還支持國(guó)密算法SM4 。

備份恢復(fù)

MaxCompute持續(xù)備份功能，無(wú)需手工操作備份，自動(dòng)記錄備份每一次的DDL或DML操作產(chǎn)生的數(shù)據(jù)變化歷史，可在需要時(shí)對(duì)數(shù)據(jù)恢復(fù)到特定歷史版本。系統(tǒng)會(huì)自動(dòng)備份數(shù)據(jù)的歷史版本（例如被刪除或修改前的數(shù)據(jù)）并保留一定時(shí)間，可以對(duì)保留周期內(nèi)的數(shù)據(jù)進(jìn)行快速恢復(fù)，避免因誤操作丟失數(shù)據(jù)。該功能不依賴外部存儲(chǔ)，系統(tǒng)默認(rèn)為所有MaxCompute項(xiàng)目開(kāi)放的數(shù)據(jù)保留周期為24小時(shí)，備份和存儲(chǔ)免費(fèi)，當(dāng)項(xiàng)目管理員修改備份保留周期超過(guò)1天時(shí)，MaxCompute會(huì)對(duì)超過(guò)1天的備份數(shù)據(jù)按量計(jì)費(fèi)。

容災(zāi)

公有云異地容災(zāi)

• 為 MaxCompute項(xiàng)目指定備份位置到備份集群后，自動(dòng)實(shí)現(xiàn)主集群與備份集群的數(shù)據(jù)復(fù)制，達(dá)到主集群與被集群數(shù)據(jù)的一致，實(shí)現(xiàn)異地?cái)?shù)據(jù)容災(zāi)。
• 故障切換時(shí)，MaxCompute項(xiàng)目從主集群切換到備份集群后，使用備份集群的計(jì)算資源訪問(wèn)備份集群的數(shù)據(jù)，完成服務(wù)的切換和恢復(fù)(fail over)。
• 目前用戶還需要切換frontend和開(kāi)通計(jì)算資源、以及容災(zāi)決策修改默認(rèn)集群。

專有云容災(zāi)

• 適合金融級(jí)容災(zāi)備份場(chǎng)景
• 統(tǒng)一數(shù)據(jù)資源視圖，統(tǒng)一權(quán)限管理模型，元數(shù)據(jù)近實(shí)時(shí)同步，數(shù)據(jù)定時(shí)同步，用戶無(wú)感知
• MaxCompute平臺(tái)內(nèi)部做數(shù)據(jù)分布管理，大數(shù)據(jù)管家一鍵切換主備，業(yè)務(wù)不中斷
• 由控制集群記錄項(xiàng)目默認(rèn)集群，主備模式也可利用備份集群的計(jì)算資源（1建議備集群縮容擴(kuò)到主集群，2 在備集群容災(zāi)預(yù)留資源外創(chuàng)建非容災(zāi)單集群項(xiàng)目， 此類項(xiàng)目后續(xù)也不可改為容災(zāi) ）
• RPO依賴同步周期，RTO秒級(jí)或分鐘級(jí)（受災(zāi)難決策影響）
• 注意復(fù)制鏈路的網(wǎng)絡(luò)延遲（建議低于20ms） 和帶寬（按需）要求

DataWorks安全能力

最后從應(yīng)用安全的層次看一下DataWorks和MaxCompute結(jié)合帶來(lái)的數(shù)據(jù)安全的能力。

防數(shù)據(jù)濫用包含：安全中心、授權(quán)審批

防數(shù)據(jù)泄露包含：數(shù)據(jù)脫敏

大數(shù)據(jù)平臺(tái)全流程數(shù)據(jù)安全保障

大數(shù)據(jù)平臺(tái)安全架構(gòu)包含基礎(chǔ)安全平臺(tái)可信、MaxCompute大數(shù)據(jù)平臺(tái)安全、應(yīng)用安全。

本次分享主要是MaxCompute大數(shù)據(jù)平臺(tái)安全能力，包括元數(shù)據(jù)管理、審計(jì)日志以及從采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀這幾方面來(lái)描述MaxCompute應(yīng)用了哪些能來(lái)保障用戶安全。

在引擎安全能力之上要有應(yīng)用來(lái)配合才能在業(yè)務(wù)側(cè)實(shí)現(xiàn)安全能力，包括權(quán)限的申請(qǐng)、敏感數(shù)據(jù)識(shí)別、訪問(wèn)統(tǒng)計(jì)等。

數(shù)據(jù)地圖

數(shù)據(jù)地圖是在元數(shù)據(jù)基礎(chǔ)上提供的企業(yè)數(shù)據(jù)目錄管理模塊，涵蓋全局?jǐn)?shù)據(jù)檢索、元數(shù)據(jù)詳情查看、數(shù)據(jù)預(yù)覽、數(shù)據(jù)血緣和數(shù)據(jù)類目管理等功能。數(shù)據(jù)地圖可以更好地查找、理解和使用數(shù)據(jù)。

安全中心

DataWorks的安全中心，能夠快速構(gòu)建平臺(tái)的數(shù)據(jù)內(nèi)容、個(gè)人隱私等相關(guān)的安全能力，滿足企業(yè)面向高風(fēng)險(xiǎn)場(chǎng)景的各類安全要求（例如，審計(jì)），無(wú)需額外配置即可直接使用該功能。

數(shù)據(jù)權(quán)限管理

安全中心提供精細(xì)化的數(shù)據(jù)權(quán)限申請(qǐng)、權(quán)限審批、權(quán)限審計(jì)等功能，實(shí)現(xiàn)了權(quán)限最小化管控，同時(shí)，方便查看權(quán)限審批流程各環(huán)節(jié)的進(jìn)展，及時(shí)跟進(jìn)處理流程。

數(shù)據(jù)內(nèi)容安全管理

安全中心提供的數(shù)據(jù)分級(jí)分類、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)訪問(wèn)審計(jì)、數(shù)據(jù)源可追溯等功能，在處理業(yè)務(wù)流程的過(guò)程中，能夠快速及時(shí)識(shí)別存在安全隱患的數(shù)據(jù)，保障了數(shù)據(jù)內(nèi)容的安全可靠。

安全診斷的最佳實(shí)踐

安全中心提供的平臺(tái)安全診斷、數(shù)據(jù)使用診斷等功能，在符合安全規(guī)范要求的前提下，提供了診斷各類安全問(wèn)題的最佳實(shí)踐。保障業(yè)務(wù)在最佳的安全環(huán)境，更有效的執(zhí)行。

數(shù)據(jù)保護(hù)傘

數(shù)據(jù)保護(hù)傘是一款數(shù)據(jù)安全管理產(chǎn)品，提供數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)脫敏、數(shù)據(jù)水印、訪問(wèn)控制、風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)審計(jì)、數(shù)據(jù)溯源等功能。

關(guān)于數(shù)據(jù)安全的問(wèn)題的回答

根據(jù)上文的分享，可以回答出之前四個(gè)方面的問(wèn)題。

what

有什么數(shù)據(jù)？ -- > 了解數(shù)據(jù) 及時(shí)清理

有什么用戶？ -- > 認(rèn)證、租戶隔離、項(xiàng)目空間保護(hù)

有什么權(quán)限？ -- > 細(xì)粒度的權(quán)限管理、ACL/Policy/Role

where

數(shù)據(jù)在哪里？ -- > 認(rèn)證、租戶隔離、項(xiàng)目空間保護(hù)

從哪里可以訪問(wèn)數(shù)據(jù)？ -- > 沙箱隔離

數(shù)據(jù)能下載到哪里？ -- > 網(wǎng)絡(luò)隔離

who

誰(shuí)能用數(shù)據(jù)？ -- > 安全中心、授權(quán)審批

誰(shuí)用了數(shù)據(jù)？ -- > 定期審計(jì)、元數(shù)據(jù)/日志

whether

是否被濫用？ -- > Label Security 分級(jí)管理

是否有泄露風(fēng)險(xiǎn)？ -- > 數(shù)據(jù)脫敏

是否有丟失風(fēng)險(xiǎn)？ -- > 備份恢復(fù)、容災(zāi)、存儲(chǔ)/傳輸加密

原文鏈接：https://click.aliyun.com/m/1000351847/

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。