文档首页/ 数据治理中心 DataArts Studio/ 最佳实践/ DataArts Studio安全最佳实践
更新时间:2025-05-30 GMT+08:00
分享

DataArts Studio安全最佳实践

安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担

本文提供了DataArts Studio使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估DataArts Studio的安全状态,更好的组合使用DataArts Studio提供的多种安全能力,提高对DataArts Studio的整体安全防御能力,保护通过DataArts Studio进行数据集成、数据开发以及数据治理时的引擎数据不泄露、不被篡改。

本文从以下几个维度给出建议,您可以评估DataArts Studio使用情况,并根据业务需要在本指导的基础上进行安全配置。

最小化配置IAM和工作空间角色权限

DataArts Studio权限体系如图1所示。DataArts Studio的IAM系统角色包括DAYU Administrator、DAYU User和DataArts Studio User;工作空间角色是基于IAM角色DAYU User或DataArts Studio User进一步授予的。

图1 权限体系
当您为IAM用户配置了DataArts Studio相关权限后,可能会出现如下非必需权限过大的风险:
  • IAM角色依赖服务权限过大。

    DAYU Administrator和DAYU User系统角色默认预置了依赖服务(如MRS、DWS等相关服务)的管理员权限。当为用户配置这两个系统角色之一后,会导致其拥有依赖服务的管理员权限。

  • 工作空间中其他组件权限不受控制。

    工作空间中的预置角色(例如管理员、开发者、运维者等)默认具备该工作空间内所有组件的操作权限。当为用户授权工作空间开发者角色后,会导致其拥有相关操作组件之外的其他组件的相关操作权限。

因此,为了避免IAM用户权限过大的风险,您需要为用户进行最小化授权,详情请参见用户授权最小化权限实践

管控默认委托过大权限

云服务委托用于将相关云服务的操作权限委托给DataArts Studio,让DataArts Studio以租户身份使用这些云服务,进行一些任务调度、资源运维等工作。在历史版本中,DataArts Studio自动创建的dlg_agency云服务委托,默认包含DLI、DWS、MRS、RDS、OBS、SMN、KMS等相关服务的管理员权限。

因此为了避免dlg_agency委托权限过大的风险,您需要为委托进行最小化授权,详情请参见委托授权最小化权限实践

启用全方位数据安全保护

DataArts Studio数据安全以数据为中心,构建全链路数据湖安全的解决方案,同时支持对服务资源进行管控,以此全方位保障数据湖安全。为安全起见,建议您配置如下数据安全能力:

  1. 配置数据权限访问控制。按不同角色、用户、用户组进行数据权限分配,保障数据的访问安全。详见数据权限访问控制
  2. 配置服务资源访问控制。对队列权限、数据连接、委托等资源进行管控,对各组件目录权限、数据下载权限进行限制,保障资源不被滥用。详见服务资源访问控制
  3. 配置敏感数据识别策略。通过自定义或内置的规则自动发现敏感数据,并进行数据分级分类标注。详见敏感数据识别
  4. 配隐私数据保护策略。通过数据脱敏、数据水印、文件水印等方式来防止敏感数据遭到有意或无意的误用、泄漏或盗窃。详见隐私保护管理

数据安全能力配置完成后,推荐您通过数据安全诊断洞察数据安全风险,保障数据使用过程的安全可靠。

引擎侧启用安全能力

DataArts Studio作为数据治理以及数智融合的一站式平台,为了实现端到端的数据流安全,除了本身的安全配置外,还需要底座引擎侧启用安全相关配置。

引擎侧的安全配置指引请参考对应引擎资料,常用引擎的安全配置指引列举如下:

相关文档