顶

期待ing

顶！

在哪些应用场景采用数据仓库会给我们带来哪些方便的服务呢？

老师您好，非常感谢您的分享。就是关于您直播中讲的权限的问题，这些权限的配置和管理都需要DBA来执行吗，对于客户查询的数据等权限是不是应该放到应用层去控制。谢谢老师。

第一个问题：权限的控制一般是由管理员或者数据库对象的拥有者来实施。

第二个问题：一般情况下，客户使用的是应用，客户不直接与数据库交互，由应用跟数据库来连接并执行查询。应用也可以来控制。但是越靠近数据来实施权限控制，数据泄漏或篡改的风险越小。

在华为云数仓DWS的官方文档页面介绍了数仓的应用场景，请移步浏览。https://support.huaweicloud.com/productdesc-dws/dws_01_0002.html

##根据官方文档指导开启三权分立 [设置三权分立](https://support.huaweicloud.com/mgtg-dws/dws_01_0074.html) ##以安全管理员身份登录后创建用户 ```sql select CURRENT_USER; --创建老师用户 CREATE USER teacher PASSWORD 'Gauss@029'; --创建学生用户daqiu, yangyang CREATE USER daqiu PASSWORD 'Gauss@123'; CREATE USER yangyang PASSWORD 'Gauss@234'; SELECT * FROM pg_roles; ``` ##以系统管理员身份登录后建表插数据 ```sql select CURRENT_USER; --创建学生考试成绩表 DROP TABLE IF EXISTS score; CREATE TABLE score(id int, name varchar(10), math int); SELECT * FROM pg_class WHERE relname = 'score'; --向数据表插入数据 INSERT INTO score(id, name, math) VALUES (1, 'daqiu', 98), (2, 'yangyang', 97); SELECT * FROM score; ``` ##以系统管理员身份登录给用户赋权 ```sql --将表的所有权限赋予教师角色 GRANT ALL ON score TO teacher; --将表的查看权限赋予学生 GRANT SELECT ON score TO daqiu, yangyang; ``` ##以系统管理员身份登录后，开启或关闭行级访问控制策略 ```sql --打开行访问控制策略开关 ALTER TABLE score ENABLE ROW LEVEL SECURITY; ALTER TABLE score DISABLE ROW LEVEL SECURITY; --创建行访问控制策略，当前用户只能查看用户自身的数据 CREATE ROW LEVEL SECURITY POLICY score_rls ON score USING(name = CURRENT_USER); ``` ##以学生身份登录后查看结果 ```sql SELECT CURRENT_USER; --开启或关闭行级访问策略结果不同 SELECT * FROM score; --尝试更新报错，权限不足 UPDATE score SET math=100 WHERE id = 1; ``` ##以审计管理员身份登录，查看指定时间的指定用户的查询 ```sql SELECT CURRENT_USER; SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and type='dml_action_select'; SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and result='failed'; ```

这次直播觉得还是比较有意思的，结构比较清晰完整，感觉比较友好，基本了解了。通过这次直播，主要围绕以下四部分展开：

1、 安全场景介绍

2、 DWS架构

3、 灵魂三问

4、 环境演示

首先就是数据安全了，特别是在如今的网络时代，海量数据是一笔巨大的财富，数据快速和大量传输，数据安全至关重要。好的产品不仅要有极致的性能，还要有牢不可破的安全呀，特别是一般而言数据仓

库中数据有很大价值，隐私性强，所以安全性格外重要。华为云数仓产品安全性能强大，权限控制，三权分立。

此外，在广泛调研行业算法基础上，选取AES128，实现透明加密，尽量降低性能损耗，最大程度保证用户数据安全。这里的“透明”指的是用户无感知，方便快捷

其次，就是DWS架构。

老师还详细地剖析讲解了灵魂三问：

1. 谁能看？

2. 能看啥？

3. 看没看？

既有技术内涵，又有安全保障，强啊！

这里印象深刻的还有行级访问控制策略，数据脱敏策略等贴心操作，特别是数据脱敏，满足涉及敏感信息的行业需求，比如金融、政府部门等，避免敏感数据泄露风险，很棒！

最后就是实战了，代码是最好的语言，直接上代码吧：

##以安全管理员身份登录后创建用户
```sql
select CURRENT_USER;

--创建老师用户
CREATE USER teacher PASSWORD 'Gauss@029';

--创建学生用户daqiu, yangyang

CREATE USER daqiu PASSWORD 'Gauss@123';

CREATE USER yangyang PASSWORD 'Gauss@234';

SELECT * FROM pg_roles;
```
##以系统管理员身份登录后建表插数据
```sql
select CURRENT_USER;
--创建学生考试成绩表
DROP TABLE IF EXISTS score;

CREATE TABLE score(id int, name varchar(10), math int);

SELECT * FROM pg_class WHERE relname = 'score';

--向数据表插入数据
INSERT INTO score(id, name, math)
VALUES (1, 'daqiu', 98), (2, 'yangyang', 97);
SELECT * FROM score;

```
##以系统管理员身份登录给用户赋权
```sql
--将表的所有权限赋予教师角色

GRANT ALL ON score TO teacher;

--将表的查看权限赋予学生
GRANT SELECT ON score TO daqiu, yangyang;
```
##以系统管理员身份登录后，开启或关闭行级访问控制策略
```sql
--打开行访问控制策略开关
ALTER TABLE score ENABLE ROW LEVEL SECURITY;
ALTER TABLE score DISABLE ROW LEVEL SECURITY;

--创建行访问控制策略，当前用户只能查看用户自身的数据
CREATE ROW LEVEL SECURITY POLICY score_rls ON score USING(name = CURRENT_USER);
```
##以学生身份登录后查看结果
```sql
SELECT CURRENT_USER;
--开启或关闭行级访问策略结果不同
SELECT * FROM score;
--尝试更新报错，权限不足
UPDATE score SET math=100 WHERE id = 1;
```
##以审计管理员身份登录，查看指定时间的指定用户的查询
```sql
SELECT CURRENT_USER;
SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and type='dml_action_select';
SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and result='failed';
```

要保护云数仓安全，因此就要做到安全层层防护，华为云采用Anti-DDoS、DDoS高防、Web应用防火墙、漏洞扫描服务、企业主机安全、容器安全服务、数据加密服务、数据库安全服务、态势感知、云堡垒机、SSL证书管理、云证书管理服务等一些云安全手段可以防止80%的用户的攻击，而剩下的20%则有云数仓本身的安全特性来保证。数仓安全特性则有一下几点：

数仓安全的核心问题--灵魂三问：

1.谁能看？--授权用户才能看：就是哪些用户可以连进数据库，可以看哪些表

权限控制，三权分立：一般小型数据库有一个管理员就够了，而大型数仓委托给单点则风险较大，因此吧权限进行了分离，分为系统管理员、安全管理员、审计管理员三个管理员，职责划分清晰，即使单个管理员密码泄露时，也能将风险降到最低。

第二个是通过透明加密来进行OS层面的数据防护，利用密钥来进行安全防护，而透明的意思则是加密解密过程中用户无感知，性能消耗低。

2.能看啥？--行列策略决定能看到啥：用户连进来之后能看数据表里的哪些信息

行级访问控制策略：访问控制精确到数据表行级别；不同用户执行相同的SQL查询操作，读取到的结果是不同的；在目标数据表上预定义过滤器，在优化器机器SQL阶段应用到执行计划上，影响最终的执行结果。

列上进行数据脱敏策略：涉及敏感信息的行业都对数据脱敏有着天然的需求，例如金融、政府、医疗等，其在应用开发、测试、培训等活动中都需要使用数据，因此都可以使用脱敏功能来避免敏感信息的泄露风险。

策略特性：

• 策略可配置：客户可结合自身业务场景识别敏感数据并以表的列为单元创建脱敏策略。

• 访问控制：制定脱敏策略后，只有管理员和表对象的owner才能访问原始数据。

• 数据可用性：需脱敏的数据可以参与实际运算及使用，并在SQL引擎中支持最终返回时脱敏。

3.看没看？--审计懂你看没看：即数据修改的追溯

通过审计日志监视记录系统用户的行为，对非法操作进行定位，支持对数据库操作细粒度的筛选，可以对事故进行追溯，具体审计项如下：用户登录、注销数据库启动、停止、恢复和切换、用户锁定和解锁、用户越权访问、授权和回收权限、数据库对象的CREATE，ALTER，DROP操作、具体表的INSERT、UPDATE和DELETE操作、SELECT操作、COPY、存储过程和自定义函数的执行、SET

对于不同的架构要采取不同的技术来实现安全得保证，华为云数仓采用的是基于无共享的逻辑架构，客户的应用通过负载均衡链接Coordinator节点，也就是协调节点。一个查询在协调节点上解析优化生成计划之后，在通过高速网络分配到Data Node，即执行节点上去执行，执行完之后，在把数据返回给协调节点来汇总，然后返回用户，因此要在协调节点、数据处理节点等所有节点都要进行数据的防护。比如协调节点要做访问控制、连接管理、数据脱敏、权限管理、审计等，而数据上，要做数据加密。通讯网络相应的也要进行防护，要做节点认证、传输加密等。

这次直播坤哥带来了关于数仓安全的一些技术和理论--灵魂三问，包括通过实践来演示数仓安全的特性，坤哥讲的非常通俗易懂，并且例子也很简单，有一点数据库基础的都能很好的理解整个课程的内容，看完直播收获很大，对数据库的安全问题也有了更深层的理解。