跳转至

数据访问

日志数据中可能包含敏感信息,因此出于安全考虑,即便是在同一业务组织内,也需要对数据访问权限进行细致划分。观测云的数据访问功能,首先基于不同来源的索引,为目标访问者设定了成员角色级别的数据访问范围。此外,为了进一步保护数据,还可以利用正则表达式和脱敏字段等工具,在限制访问的基础上对数据进行必要的"再编辑",确保敏感信息在不牺牲数据价值的前提下得到妥善处理。

日志 > 数据访问页面,借助以下两种方式可开始创建新规则:

点击页面左上方新建规则按钮,即可开始创建;

若当前页面存在历史访问规则,点击该规则右侧操作下的 图标,可以克隆已有规则再创建。

开始配置

1、选择索引。可选范围包含当前工作空间内日志索引(包含日志默认索引、自定义索引、绑定的外部索引)以及被授权的所有可查看索引

2、定义当前规则下,日志数据的访问范围

3、添加需要脱敏的字段;非必选;可多选。

4、利用正则表达式针对字段内容中的敏感信息进行脱敏。

5、选定当前访问规则可应用到的成员角色,包含系统内默认角色及自建角色;可多选。

配置须知

数据访问范围定义

数据范围:在访问规则内的成员只能访问选中的字段信息。

不同字段之间的逻辑关系可以自定义选择 任意(OR)所有(AND)

  • 默认选中 所有(AND),支持切换为任意(OR)

  • 逻辑关系示例参考如下:

    • 示例 1:(默认 AND)

      • host=[host1,host2] AND service = [service1,service2];

    • 示例 2:(切换为任意 OR)

      • host=[host1,host2] OR service = [service1,service2]。

  • 支持通过 标签/属性 进行值的筛选,包括正向筛选、反向筛选、模糊匹配、反向模糊匹配、存在和不存在等多种筛选方式。

正则表达式脱敏

在设置访问规则时,尽管已定义数据范围,但仍需额外措施防止敏感或非必要信息泄露。此时,可利用脱敏字段正则表达式对数据进行进一步处理,以加强数据保护。

在配置页面,除了直接添加单个的脱敏字段外,如需针对日志 message 里的某部分内容进一步作脱敏处理,如不显示 token 或 IP 信息,则可以通过添加正则表达式来满足这一需求。

  • 支持配置多个正则表达式,一个访问规则下最多配置 10 个表达式;
  • 支持禁用、启用某个正则表达式,后续应用和预览仅根据启用的正则表达式适配脱敏;
  • 支持直接在此处编辑、删除某个正则表达式;
  • 支持通过拖拽移动正则表达式位置,数据匹配到此脱敏规则时按照从上到下的顺序应用正则表达式做脱敏处理。

  • 支持在此处直接新建正则表达式:

在弹出的窗口中,输入所需信息

若勾选应用到规则,则该条规则会直接被添加至正则表达式下方。

角色场景与查询权限

简单情况

假设某个成员仅担任一种角色,如 read-only,则选中该角色后,系统会仅针对配置的这一角色做查看脱敏。

其中,若选择 “全部” 这一角色,则除 Owner 以外的所有角色都会受到脱敏影响。

注意

  • 默认角色未配置数据访问规则时,拥有所有日志的数据查询权限;
  • 基于用户角色存在日志数据查询权限的基础,日志数据访问的规则才能生效;
  • 角色匹配规则后,您只能在规则配置的基础范围内继续添加筛选,若超出此范围查询,则返回数据为空。

多角色权限覆盖

若某成员存在多个角色(如下),且每个角色查询权限覆盖范围有差异,最终该成员的数据查询权限采用角色下的最高权限

多规则权限控制

在业务数据复杂且层级繁多的情况下,针对具有不同来源和属性的数据,我们需要设定多条访问规则以适应不同的数据访问需求。

  1. 一个规则多个筛选之间关系:同 key 的多个值关系是 OR,不同 key 之间的关系是 AND;
  2. 多个规则之间关系为 OR。

所以,如果:

规则 1:host = [主机1,主机2] AND service = [服务1,服务2]
规则 2:host = [主机3,主机4] AND source = [来源1,来源2]

同一角色同时拥有以上两条权限规则,那么实际数据会显示 规则1 OR 规则2 来达到并集效果。

实际可以看到数据范围是:

(host = [主机1,主机2] AND service = [服务1,服务2])OR (host = [主机3,主机4] AND source = [来源1,来源2])

若同一角色拥有多条权限规则,且其中规则 1 内配置有脱敏规则,那么所有权限规则下返回的所有数据都会受到脱敏规则影响。

配置示例

  1. 选择本工作空间的索引 rp70
  2. 设置数据范围为 host:cn-hangzhou.172.**.**service:kodo
  3. 此处我们不设置脱敏字段,直接编写正则表达式 tkn_[\da-z]*,表示对 token 信息进行加密;
  4. 最后直接将当前访问规则赋予当前工作空间内的所有 Read-only 成员。
  5. 点击保存。若需要,可点击左下方预览,查看脱敏效果。

以上访问规则面向当前工作空间内的所有 Read-only 成员,只能访问日志索引为 rp70 下,host:cn-hangzhou.172.**.**service:kodo 的数据,且在这类数据中,无法可见所有 token 的信息。

应用场景

基于已经生效的数据访问规则,被规则命中的成员接收到的快照数据将自动根据其权限规则进行筛选。即使快照中包含的数据超出了成员的访问权限,系统也会先行过滤,最终成员只能查看符合其访问规则的数据。

列表操作

查看

规则配置完成后,可查看该条规则是否脱敏以及关联的角色数量与角色对应成员数量.

若当前规则配置了脱敏字段和正则表达式,Hover 还可直接在列表显示对应规则内配置的脱敏字段和正则表达式以及正则表达式的启用、禁用状态:

【仅显示跟我相关的规则】:

  • 默认“关闭”,即显示所有数据访问规则列表;

  • 设置【仅显示跟我相关的规则】,仅显示与当前账号角色关联的数据访问规则。

修改

点击规则右侧修改图标,可修改规则下的索引、筛选条件及授权角色等设置:

删除

点击规则右侧 图标,点击确认,即可删除该条规则:

启用/禁用规则

点击启用/禁用开关,可以修改数据访问规则状态,规则禁用后,不同角色对日志数据访问查询范围不受限制,规则启用后恢复。

批量操作

可以针对特定规则进行批量操作,包括启用、禁用和删除规则。

文档评价

文档内容是否对您有帮助? ×