跳转至

数据访问

日志、RUM、APM 和指标等数据中可能包含敏感信息,因此出于安全考虑,即便是在同一业务组织内,也需要对数据访问权限进行细致划分。

数据访问功能通过以下方式实现:

  • 基于不同来源的索引,为访问者设定成员角色级别的数据访问范围。
  • 为保护数据安全,利用正则表达式和脱敏字段等工具,在限制访问的基础上对数据进行必要处理,确保敏感信息在不降低数据价值的情况下得到妥善保护。

管理 > 数据访问页面,借助以下两种方式可开始创建新规则:

点击页面左上方新建规则按钮,即可开始创建;

若当前页面存在历史访问规则,点击该规则右侧操作下的 图标,可以克隆已有规则再创建。

开始配置

  1. 选择数据类型;
  2. 定义当前规则的名称;
  3. 输入当前规则的描述;
  4. 选择当前规则应用的工作空间站点;

  5. 针对您选择的数据类型,选择对应的索引、服务、应用和指标;

  6. 定义当前规则下,数据的访问范围

  7. 添加需要脱敏的单个或多个字段;

  8. 利用正则表达式针对字段内容中的敏感信息进行脱敏;

  9. 选定当前访问规则可应用到的单个或多个成员角色,包含系统内默认角色及自建角色;

  10. 保存。

配置须知

数据访问范围定义

数据范围:在访问规则内的成员只能查看与筛选条件匹配的数据。

不同字段之间的逻辑关系可以自定义选择任意 (OR)所有 (AND)

  • 默认选中所有 (AND),支持切换为任意 (OR)

  • 逻辑关系示例参考如下:

    • 示例 1:(默认 AND)

      • host=[host1,host2] AND service = [service1,service2];

    • 示例 2:(切换为任意 OR)

      • host=[host1,host2] OR service = [service1,service2]。

  • 支持通过 标签/属性 进行值的筛选,包括正向筛选、反向筛选、模糊匹配、反向模糊匹配、存在和不存在等多种筛选方式。

正则表达式脱敏

在设置访问规则时,尽管已定义数据范围,但仍需额外措施防止敏感或非必要信息泄露。此时,可利用脱敏字段正则表达式对数据进行进一步处理,以加强数据保护。

在配置页面,除了直接添加单个的脱敏字段外,如需针对日志 message 里的某部分内容进一步作脱敏处理,如不显示 token 或 IP 信息,则可以通过添加正则表达式来满足这一需求。

  • 支持配置多个正则表达式,一个访问规则下最多配置 10 个表达式;
  • 支持禁用、启用某个正则表达式,后续应用和预览仅根据启用的正则表达式适配脱敏;
  • 支持直接在此处编辑、删除某个正则表达式;
  • 支持通过拖拽移动正则表达式位置,数据匹配到此脱敏规则时按照从上到下的顺序应用正则表达式做脱敏处理;
  • 支持在此处直接新建正则表达式:

在弹出的窗口中,输入所需信息

若勾选应用到规则,则该条规则会直接被添加至正则表达式下方。

角色场景与查询权限

简单情况

假设某个成员仅担任一种角色,如 read-only,则选中该角色后,系统会仅针对配置的这一角色做查看脱敏。

其中,若选择 “全部” 这一角色,则除 Owner 以外的所有角色都会受到脱敏影响。

注意
  • 默认角色未配置数据访问规则时,拥有所有数据的查询权限;
  • 基于用户角色存在数据查询权限的基础,数据访问的规则才能生效;
  • 角色匹配规则后,您只能在规则配置的基础范围内继续添加筛选,若超出此范围查询,则返回数据为空。

多角色权限覆盖

如果某成员拥有多个角色,且这些角色的查询权限覆盖范围各不相同(如下图所示),那么该成员最终的数据查询权限将是所有角色数据访问查看范围的总和

多规则权限控制

在业务数据复杂且层级繁多的情况下,针对具有不同来源和属性的数据,有时需要设定多条访问规则以适应不同的数据访问需求。

  • 一个规则多个筛选之间关系:同 key 的多个值关系是 OR,不同 key 之间的关系是 AND;
  • 多个规则之间关系为 OR。

所以,如果:

规则 1:host = [主机1,主机2] AND service = [服务1,服务2]
规则 2:host = [主机3,主机4] AND source = [来源1,来源2]

同一角色同时拥有以上两条权限规则,那么实际数据会显示 规则1 OR 规则2 来达到并集效果。

实际可以看到数据范围是:

(host = [主机1,主机2] AND service = [服务1,服务2])OR (host = [主机3,主机4] AND source = [来源1,来源2])

若同一角色拥有多条权限规则,且其中规则 1 内配置有脱敏规则,那么所有权限规则下返回的所有数据都会受到脱敏规则影响。

配置示例

  1. 选择本工作空间的索引 rp70
  2. 设置数据范围为 host:cn-hangzhou.172.**.**service:kodo
  3. 此处不设置脱敏字段,直接编写正则表达式 tkn_[\da-z]*,即对 token 信息进行加密;
  4. 最后直接将当前访问规则赋予当前工作空间内的所有 Read-only 成员。
  5. 点击保存。若需要,可点击左下方预览,查看脱敏效果。

以上访问规则面向当前工作空间内的所有 Read-only 成员,只能访问日志索引为 rp70 下,host:cn-hangzhou.172.**.**service:kodo 的数据,且在这类数据中,无法可见所有 token 的信息。

应用场景

基于已经生效的数据访问规则,被规则命中的成员接收到的快照数据将自动根据其权限规则进行筛选。即使快照中包含的数据超出了成员的访问权限,系统也会先行过滤,最终成员只能查看符合其访问规则的数据。

管理列表

  • 可查看规则关联的索引、查询条件、是否脱敏、关联角色数量及成员数量等信息。
  • 仅显示与我相关的规则:默认“关闭”,显示所有规则;启用后仅显示与当前角色相关的规则。
  • 启用/禁用规则:修改规则状态,禁用后角色访问不受限,启用后恢复。
  • 编辑:可修改规则的名称、描述、绑定索引、筛选条件及授权角色。
  • 克隆:快速复制当前规则。
  • 操作审计:记录与规则相关的操作。
  • 删除:删除当前规则。
  • 批量操作:支持批量启用、禁用和删除多条规则。

更多阅读

文档评价

文档内容是否对您有帮助? ×