DataArts Studio安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了DataArts Studio使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估DataArts Studio的安全状态,更好的组合使用DataArts Studio提供的多种安全能力,提高对DataArts Studio的整体安全防御能力,保护通过DataArts Studio进行数据集成、数据开发以及数据治理时的引擎数据不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估DataArts Studio使用情况,并根据业务需要在本指导的基础上进行安全配置。
最小化配置IAM和工作空间角色权限
DataArts Studio权限体系如图1所示。DataArts Studio的IAM系统角色包括DAYU Administrator、DAYU User和DataArts Studio User;工作空间角色是基于IAM角色DAYU User或DataArts Studio User进一步授予的。
因此,为了避免IAM用户权限过大的风险,您需要为用户进行最小化授权,详情请参见用户授权最小化权限实践。
管控默认委托过大权限
云服务委托用于将相关云服务的操作权限委托给DataArts Studio,让DataArts Studio以租户身份使用这些云服务,进行一些任务调度、资源运维等工作。在历史版本中,DataArts Studio自动创建的dlg_agency云服务委托,默认包含DLI、DWS、MRS、RDS、OBS、SMN、KMS等相关服务的管理员权限。
因此为了避免dlg_agency委托权限过大的风险,您需要为委托进行最小化授权,详情请参见委托授权最小化权限实践。
启用全方位数据安全保护
DataArts Studio数据安全以数据为中心,构建全链路数据湖安全的解决方案,同时支持对服务资源进行管控,以此全方位保障数据湖安全。为安全起见,建议您配置如下数据安全能力:
- 配置数据权限访问控制。按不同角色、用户、用户组进行数据权限分配,保障数据的访问安全。详见数据权限访问控制。
- 配置服务资源访问控制。对队列权限、数据连接、委托等资源进行管控,对各组件目录权限、数据下载权限进行限制,保障资源不被滥用。详见服务资源访问控制。
- 配置敏感数据识别策略。通过自定义或内置的规则自动发现敏感数据,并进行数据分级分类标注。详见敏感数据识别。
- 配隐私数据保护策略。通过数据脱敏、数据水印、文件水印等方式来防止敏感数据遭到有意或无意的误用、泄漏或盗窃。详见隐私保护管理。
数据安全能力配置完成后,推荐您通过数据安全诊断洞察数据安全风险,保障数据使用过程的安全可靠。
引擎侧启用安全能力
DataArts Studio作为数据治理以及数智融合的一站式平台,为了实现端到端的数据流安全,除了本身的安全配置外,还需要底座引擎侧启用安全相关配置。
引擎侧的安全配置指引请参考对应引擎资料,常用引擎的安全配置指引列举如下:
- DLI:DLI安全最佳实践
- DWS:DWS安全最佳实践
- RDS for MySQL:RDS for MySQL安全最佳实践
