MaxCompute 数据安全权限管理规范政策
## 1 政策总则
这份规范专门用来约束企业内部全部MaxCompute大数据平台的权限分配、使用、回收全流程,兜底业务数据、计算资源、项目资产的安全底线。当下团队数据业务交叉越来越多,跨部门取数、临时数据分析、外包人员接入场景频发,权限乱放、授权随意、离职权限不清这类问题,很容易引发数据泄露、数据篡改、算力浪费风险,制定统一规则,就是为了把权限管控落到日常运维的每一处细节里。
规范适用范围覆盖全员,内部研发、数据分析、运维、业务运营人员,外部合作厂商、临时驻场人员,只要需要登录平台操作数据、调度任务,全部遵照这套规则执行。平台原有零散权限配置、私下临时授权,后续需要逐步对齐标准,老旧不合理权限分批清理,避免新旧规则并行埋下安全漏洞。
权限管控核心逻辑遵循最小够用原则,说白了就是干活需要什么权限,就开放什么权限,绝不一次性下放全域权限。同时兼顾业务效率,不搞一刀切式严苛管控,避开冗余审批拖慢数据分析、数据开发进度,平衡安全约束和业务实操节奏。
## 2 账号准入基础要求
MaxCompute不允许注册独立零散账号,全员必须绑定阿里云主账号或者RAM子账号登录,杜绝共用账号、匿名账号、公共测试账号。很多团队图省事,多人共用一个运维账号操作大数据平台,一旦出现数据泄露、任务异常,根本追溯不到具体责任人,这类行为直接明令禁止。
内部员工账号实行一人一号,账号实名信息必须和人事备案信息保持一致,昵称、化名账号不予开通平台权限。对外合作人员、外包人员,单独开立专属临时子账号,不和内部员工账号混用身份体系。
账号登录安全不能松懈,登录密码定期轮换,开启二次身份校验。运维人员不用简易弱密码,也不要把账号密码存放在办公群、共享文档这类公开位置,避免账号被盗冒用,绕过权限管控窃取底层数据。
## 3 权限分级与下放规则
平台权限按照操作风险轻重,粗略划分成基础查询、开发运维、项目管理、敏感数据处置四类,不同层级权限划分清晰边界,禁止跨层级随意提权。
日常做报表、复盘业务指标的数据分析人员,只配发基础查询权限,只能读取公开业务数据表,没办法查看用户隐私、交易涉密字段,也不能修改底层数据表结构、删除存量数据。负责数据建模、任务调度的开发人员,按需申领开发运维权限,仅限定负责的业务项目生效,无权跳转其他部门数据项目随意操作。
项目管理类高等级权限,只保留给大数据平台专职管理员,业务负责人、一线开发不得申请接管权限。这类高阶权限能增减平台用户、批量修改授权规则、开关项目安全配置,覆盖面极广,随意下放极易撬动整体数据底盘。
涉及手机号、用户画像、资金流水这类敏感数据,不单靠普通权限拦截,还要叠加数据敏感度标签管控。数据表、字段提前打上涉密标识,哪怕账号拥有基础查询权限,没有对应解密准入标记,依旧无法读取明文信息,从源头挡住越权查敏感数据的漏洞。
跨项目资源共享一直是权限乱象高发点,业务部门互相调取数据,禁止私下执行授权命令绕开审批。需要跨项目取数时,提前登记使用用途、调取周期、操作人员信息,核验业务必要性之后再开放临时通行权限,共享到期自动收回,不留长期跨域后门。
## 4 授权实操约束
日常授权统一走内部运维审批工单,不允许管理员后台私自执行授权指令。过往不少权限隐患,都来自管理员口头应允、后台私下赋权,事后没有留存记录,出事之后无从核查溯源。所有授权动作,不管是长期岗位权限,还是临时取数权限,都要留存操作日志、审批单据,归档留存不少于一年。
尽量依托预设角色批量赋权,减少单点零散授权。同一岗位、同类工作职责人员,打包归入统一预设角色,统一配置权限,不用逐个单独配置账号权限。既能减少重复工作量,也能避免人工配置疏漏,出现权限忽高忽低的问题。自定义角色不能堆砌高阶管控权限,新建角色必须经过安全侧复核。
临时授权要卡死时效,应急排查、临时复盘产生的短时权限,最长有效期不超过七个工作日。到期系统自动冻结权限,如需延期,重新提交审批,禁止一次性设置永久临时权限。外包、第三方人员权限周期,直接绑定合作合同工期,合同终止当日同步封禁账号、清空全部授权。
权限继承功能谨慎启用,平台自带的上层资源权限自动同步下级资产能力,方便运维但风险极高。部门大项目层级开启继承权限后,底层细分数据表会同步开放全部权限,极易造成隐形数据外泄,非必要场景直接关闭该项能力。
## 5 权限变更与清理管控
人员岗位变动、业务职责移交,是权限失控的高发节点。员工调岗之后,原有业务配套的MaxCompute权限三天内完成剥离,只保留新岗位必需操作权限,旧权限不自动顺延。很多历史冗余权限堆积,就是调岗不清权,日积月累积攒大量僵尸授权。
员工离职、外包退场,人事同步工单下发当日,平台管理员必须立刻注销账号、回收全部关联权限,不得预留缓冲期。禁止留存离职员工账号用作后台测试、临时排查,防止账号被复用窃取历史数据。
每月开展一轮权限轻盘点,不用逐项逐条核对全部配置,重点排查长期闲置账号、超期临时权限、跨部门异常授权。每季度做一次全面权限大扫除,清理无效角色、废弃授权、冗余后台配置,压缩权限攻击面。盘点发现不合理配置,第一时间整改,同步留存整改台账。
## 6 操作审计与风险处置
平台全量权限变更、数据读取、任务执行日志常态化留存,重点盯住高风险动作:批量导出全量表、删除数据表、修改安全标签、跨项目批量授权。这类操作触发自动告警,推送运维和数据安全负责人核验。
出现异常行为不用过度研判,短时间多次越权查询、异地频繁登录、批量下载敏感字段,系统先行自动限流、冻结账号权限,事后再复盘核查原因。核实误操作就解封整改,确认违规操作,追溯全链路责任人,同步上报内控部门。
日志禁止随意删除、篡改,管理员没有清理审计日志的权限,日志后台独立封存,哪怕平台项目重构、资源下线,审计数据也要单独归档留存,满足合规溯源要求。
## 7 违规追责与兜底说明
无视规范私自授权、转借平台账号、绕过审批私自调取涉密数据,视情节轻重处置。轻度违规造成权限混乱、资源占用,开展内部约谈、绩效扣分;引发数据外泄、业务数据损毁、企业合规风险,落实岗位追责;触碰数据合规法律法规的,移交相关部门处置。
管理员滥用后台权限,违规开放高阶管控权限、删除审计记录,追责标准严于普通操作人员,承担双倍管理责任。
这份规范会跟着平台版本迭代、行业数据合规要求动态微调,业务场景出现新增业态、新增数据类型,同步补齐权限管控细则。业务实操中和规范存在冲突,优先以数据安全要求为准,特殊业务场景走专项豁免审批,不留规则灰色地带。



