অভ্যন্তরীণ নিরাপত্তা
সংক্ষিপ্ত বিবরণ
অভ্যন্তরীণ নিরাপত্তা ইলুমে একটি অভ্যন্তরীণ অনুমোদন এবং প্রমাণীকরণ সিস্টেম যা ইলাম কোর দ্বারা পরিচালিত হয়। এটি নিরাপদে একটি ডাটাবেসে সমস্ত ব্যবহারকারীর ডেটা সংরক্ষণ করে এবং ইলাম কোর সার্ভার পরিবেশের মধ্যে ব্যবহৃত হয়।
Ilum’s internal security system provides ভূমিকা ভিত্তিক অ্যাক্সেস কন্ট্রোল (আরবিএসি) , আইলাম কোর সার্ভারের প্রতিটি ক্রিয়াকে একটি নির্দিষ্ট অনুমতিতে ম্যাপ করার অনুমতি দেয়। এটি অত্যন্ত সুনির্দিষ্ট অ্যাক্সেস ম্যানেজমেন্ট সক্ষম করে।
অনুমতি কার্যভার সহজ করতে, আপনি ব্যবহারকারী ভূমিকা এবং গোষ্ঠী তৈরি করতে পারেন যা এই ভূমিকা বা গোষ্ঠীগুলির সাথে যুক্ত ব্যবহারকারীদের জন্য অনুমতিগুলি সংজ্ঞায়িত করুন।
Declarative Resource Management
Ilum Core provides a declarative way to manage users and their roles through Helm configuration.
An example of a Helm configuration for user management is provided below.
ইলুম-কোর :
নিরাপত্তা :
অভ্যন্তরীণ :
ব্যবহারকারী :
- ব্যবহারকারীর নাম : অ্যাডমিন
পাসওয়ার্ড : someNewSecurePassword # A simple way to change the initial password of the default admin user
ভূমিকা :
- এডমিন # Assigning the ADMIN role to the user
- ব্যবহারকারীর নাম : orgUser
পাসওয়ার্ড : ব্যবহারকারীর পাসওয়ার্ড # Set the initial password for the user
ভূমিকা :
- ব্যবহারকারী # Assigning the USER role to the user
যেমন
Let’s create a user who can access the existing data architecture to retrieve and analyze data but does not have permission to modify it by adding new pods.
প্রথম পদক্ষেপটি একটি ভূমিকা তৈরি করা। এটি বারবার একই বরাদ্দ করার প্রয়োজনীয়তা এড়িয়ে প্রক্রিয়াটিকে প্রবাহিত করতে সহায়তা করে একাধিক ব্যবহারকারীর কাছে অনুমতি।
- সুরক্ষা -> ভূমিকাগুলিতে নেভিগেট করুন ও ক্লিক করুন ভূমিকা যোগ করুন বোতাম।
- নাম এবং বিবরণ সহ ভূমিকার বিশদটি পূরণ করুন। চেক করতে ভুলবেন না সক্ষম ভূমিকা সক্রিয় করতে চেকবক্স।
- এরপরে, যান অনুমতি এবং ভূমিকার জন্য উপযুক্ত অনুমতি বরাদ্দ করুন।
এই উদাহরণের জন্য, আমরা নিম্নলিখিত অনুমানের উপর ভিত্তি করে অনুমতিগুলি কনফিগার করব:
- কার্যকরভাবে এটি ব্যবহার করার জন্য ব্যবহারকারীর ডেটা আর্কিটেকচার সম্পর্কে তথ্যে সম্পূর্ণ অ্যাক্সেস থাকা উচিত। অর্পণ করুন রিড নিম্নলিখিত সংস্থানগুলির জন্য অনুমতি: চাকরি, পরিষেবা, সময়সূচী, ক্লাস্টার এবং কাজের অনুরোধ .
- ব্যবহারকারীকে সিস্টেমের সমালোচনামূলক অংশগুলি পরিবর্তন না করে ডেটা রূপান্তর করতে ডেটা আর্কিটেকচারের মধ্যে কাজ করতে সক্ষম হওয়া উচিত। অর্পণ করুন কার্যকর জন্য অনুমতি সেবা সংস্থান। অর্পণ করুন তৈরি জন্য অনুমতি কাজ সংস্থান।
- ব্যবহারকারীর ইলাম উপাদানগুলিতে অ্যাক্সেস থাকা উচিত যেমন ফাইল এক্সপ্লোরার, বংশ, টেবিল এক্সপ্লোরার, ইতিহাস সার্ভার, সুপারসেট, জুপিটার বা জেপেলিন নোটবুক এবং ইলাম এসকিউএল . অনুদান রিড এই প্রতিটি উপাদান ব্যবহার করার অনুমতি।
- ব্যবহারকারীর তাদের বিশেষাধিকার সম্পর্কে সচেতন হওয়া উচিত তবে সেগুলি সংশোধন করার ক্ষমতা নেই। অর্পণ করুন রিড এর জন্য অনুমতি গ্রুপ, ভূমিকা এবং ব্যবহারকারী
ভূমিকা তৈরি করার পরে, পরবর্তী পদক্ষেপটি ব্যবহারকারী তৈরি করা।
- সুরক্ষা -> ব্যবহারকারীদের কাছে নেভিগেট করুন এবং ক্লিক করুন ব্যবহারকারী যোগ করুন বোতাম।
- ব্যবহারকারীর বিশদটি পূরণ করুন ও চেক করে অ্যাকাউন্টটি সক্ষম করুন সক্ষম চেকবক্স।
- এরপরে, বরাদ্দ করুন অনুমতি ব্যবহারকারীর কাছে
এটি করার সহজতম উপায় হ'ল আপনি আগে তৈরি করা ভূমিকাটি নির্ধারণ করা। এটি স্বয়ংক্রিয়ভাবে ব্যবহারকারীকে সমস্ত পছন্দসই অনুমতি প্রদান করবে।
যদি ভূমিকায় থাকা অনুমতির বাইরে অতিরিক্ত অনুমতির প্রয়োজন হয় তবে আপনি প্রয়োজন অনুসারে সেগুলি সরাসরি ব্যবহারকারীকে অর্পণ করতে পারেন।
অবশেষে, ব্যবহারকারী প্রস্তুত। আপনি অ্যাপ্লিকেশনের ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে লগ ইন করতে পারেন।
প্রবেশাধিকার নিয়ন্ত্রণ
ইলাম কোরের প্রতিটি ক্রিয়ার জন্য একটি নির্দিষ্ট অনুমতি প্রয়োজন। এই নিবন্ধটি লেখার সময় হিসাবে, 48 টি বিভিন্ন অনুমতি বরাদ্দ করা যেতে পারে। অ্যাক্সেস নিয়ন্ত্রণ সহজ করার জন্য, গ্রুপ এবং ভূমিকা ব্যবহার করার পরামর্শ দেওয়া হয়।
গোষ্ঠী আপনার প্রতিষ্ঠানের মধ্যে ব্যবহারকারীদের সংগ্রহ প্রতিনিধিত্ব করুন। কোনও ব্যবহারকারীকে একটি গোষ্ঠীতে বরাদ্দ করে, সেই ব্যবহারকারী স্বয়ংক্রিয়ভাবে গোষ্ঠীর সাথে সম্পর্কিত সমস্ত অনুমতি উত্তরাধিকার সূত্রে প্রাপ্ত হয়। গ্রুপের অনুমতি সরাসরি এবং গ্রুপকে অর্পিত ভূমিকার মাধ্যমে উভয়ই দেওয়া যেতে পারে।
একটি ব্যবহারকারী একাধিক গোষ্ঠীর অন্তর্গত হতে পারে এবং তাদের জন্য বেশ কয়েকটি ভূমিকা অর্পণ করা যেতে পারে। এর অর্থ ব্যবহারকারী সেই গোষ্ঠী এবং ভূমিকাগুলির দ্বারা প্রদত্ত সমস্ত অনুমতিগুলি উত্তরাধিকার সূত্রে প্রাপ্ত হবে। উপরন্তু, আপনি সরাসরি ব্যবহারকারীকে অনুমতি বরাদ্দ করতে পারেন। এরপরে ইলাম কোর সরাসরি ব্যবহারকারীকে অর্পণ করা ব্যক্তিদের পাশাপাশি গোষ্ঠীগুলিতে নির্ধারিত ভূমিকা সহ তারা যে গোষ্ঠী এবং ভূমিকাগুলির অন্তর্ভুক্ত তাদের বিবেচনা করে অনুমতিগুলি পরীক্ষা করবে।
দ্রষ্টব্য: আপনি ভূমিকা এবং গোষ্ঠীগুলি অক্ষম করতে পারেন, যা ব্যবহারকারীদের তাদের কাছ থেকে অনুমতিগুলি উত্তরাধিকার সূত্রে প্রাপ্ত হতে বাধা দেবে। একইভাবে, ব্যবহারকারীদের অক্ষম করা তাদের অ্যাপ্লিকেশনের মধ্যে কিছু অ্যাক্সেস করতে বাধা দেবে।
অনুমতি
ইলাম কোরের প্রতিটি ক্রিয়ায় তার নিজস্ব অনুমতি প্রয়োজন।
১. চাকরির অনুমতি:
- JOB_READ
- JOB_CREATE
- JOB_DELETE - চাকরি মুছে ফেলার জন্য
- REQUEST_READ
দ্রষ্টব্য: JOB_READ অনুমতি আপনাকে কাজের সম্পর্কে সবকিছু পড়ার অ্যাক্সেস দেয়: এর ত্রুটি এবং সাফল্যের বার্তা, এর লগগুলি, মেট্রিক্সের সাথে তার ওভারভিউ ইত্যাদি REQUEST_READ অনুমতি আপনাকে সমস্ত অনুরোধের একটি তালিকা এবং তাদের প্রত্যেকের বিশদ পড়তে অ্যাক্সেস দেয়
২. ইলম সার্ভিস পারমিশন:
- SERVICE_CREATE
- SERVICE_DELETEARCHIVE
- SERVICE_EDIT
- SERVICE_PAUSERESUME
- SERVICE_EXECUTE
- SERVICE_READ
3. সময়সূচী অনুমতি:
- SCHEDULE_READ
- SCHEDULE_CREATE
- SCHEDULE_EDIT
- SCHEDULE_DELETE
- SCHEDULE_PAUSERESUME
4. ক্লাস্টার অনুমতি:
- CLUSTER_READ
- CLUSTER_EDIT
- CLUSTER_CREATE
- CLUSTER_DELETE
দ্রষ্টব্য: CLUSTER_READ একটি ক্লাস্টারের ভিতরে পড়ার পরিষেবা, সময়সূচী এবং চাকরির অ্যাক্সেস দেয় না। SERVICE_READ, SCHEDULE_READ এবং JOB_READ প্রয়োজন
5. মডিউল অ্যাক্সেস।
প্রতিটি মডিউল এটি অ্যাক্সেস করার জন্য একটি অনুমতি প্রয়োজন। এই অনুমতিটি মডিউলটিতে সম্পূর্ণ অ্যাক্সেস দেয়।
- NOTEBOOK_READ: জুপিটার এবং জেপেলিন
- LINEAGE_READ
- SUPERSET_READ
- HISTORYSERVER_READ
- MINIO_READ
- AIRFLOW_READ
- MLFLOW_READ
- SQL_READ
- TABLEEXPLORER_READ
- FILEEXPLORER_READ
6. নিরাপত্তা ব্যবস্থাপনা
এগুলি ব্যবহারকারী, ভূমিকা এবং গোষ্ঠীগুলি পর্যবেক্ষণ, আপডেট, মুছতে, সক্ষম এবং অক্ষম করার জন্য প্রয়োজনীয় অনুমতি। উপরন্তু, কার্যক্রম ইতিহাস পর্যবেক্ষণ এবং এটি পরিষ্কার করার অনুমতি আছে।
- USER_CREATE
- USER_EDIT_PASSWORD (ব্যবহারকারীর পাসওয়ার্ড পুনরায় সেট করতে)
- USER_EDIT_DETAILS (ব্যবহারকারীর নাম, বর্ণনা, পুরো নাম, বিভাগ, ইমেল সম্পাদনা করতে)
- USER_EDIT_ACCESS (ব্যবহারকারীর অনুমতি, ভূমিকা এবং গোষ্ঠী সম্পাদনা করতে)
- USER_DELETE
- USER_ENABLEDISABLE
- USER_READ
- USERROLE_CREATE
- USERROLE_READ
- USERROLE_DELETE
- USERROLE_EDIT
- USERROLE_ENABLEDISABLE
- GROUP_READ
- GROUP_DELETE
- GROUP_CREATE
- GROUP_EDIT
- GROUP_ENABLEDISABLE
- ACTIVITY_READ
- ACTIVITY_DELETE
ডিফল্ট ভূমিকা
ডিফল্টরূপে ইলাম কোর আপনাকে 4 টি ভূমিকা সরবরাহ করে:
- এডমিন : সমস্ত অনুমতিগুলিতে অ্যাক্সেস রয়েছে
- ব্যবহারকারী : এমএলফ্লো, মিনিও, ইলুম এসকিউএল, এয়ারলফো এবং নোটবুক ব্যতীত কেবল পড়ার অনুমতি রয়েছে। USER_EDIT_DETAILS অনুমতি আছে
- DATA_ENGINEER : নিরাপত্তা অনুমতি ব্যতীত সমস্ত অনুমতিগুলিতে অ্যাক্সেস রয়েছে। USER_EDIT_DETAILS অনুমতি আছে
- DATA_SCIENTIST : এমএলফ্লো এবং এয়ারফ্লো ব্যতীত সমস্ত পড়ার অনুমতি রয়েছে। SERVICE_EXECUTE এবং JOB_CREATE অনুমতি আছে। USER_EDIT_DETAILS অনুমতি আছে
কার্যক্রম
ইলাম ব্যবহারকারীর ক্রিয়াকলাপগুলির একটি ইতিহাস বজায় রাখে, যা এতে দেখা যায় নিরাপত্তা -> কার্যক্রম ফোল্ডার। এখানে, আপনি ব্যবহৃত শেষ পয়েন্ট, সমস্ত সম্পর্কিত পাথ ভেরিয়েবল এবং এর টাইমস্ট্যাম্প সহ সম্পাদিত প্রতিটি ক্রিয়ার একটি সংক্ষিপ্ত বিবরণ দেখতে পারেন।
তুমি এর দ্বারা ক্রিয়াকলাপ লগ ফিল্টার করতে পারো নাম অথবা দ্বারা শেষ বিন্দু দ্রুত প্রাসঙ্গিক তথ্য খুঁজে পেতে।
মোতায়েন
ইলাম 3 টি সুরক্ষা ধরণের প্রস্তাব দেয় এবং আপনি সেই সময়ে তাদের মধ্যে কেবল একটি চয়ন করতে পারেন।
অভ্যন্তরীণ সুরক্ষা চয়ন করার জন্য আপনাকে সংশ্লিষ্ট হেলম কনফিগারেশনগুলি এতে সেট করা উচিত অভ্যন্তরীণ নিচের মতঃ
হেলম আপগ্রেড ইলুম ইলুম / ইলুম \\
--সেট ilum-core.security.internal.enabled=true \\
--সেট ilum-core.security.type=অভ্যন্তরীণ --reuse-values
উপরন্তু, আপনি আপনার অ্যাপ্লিকেশন প্রাথমিক ব্যবহারকারীদের যোগ করতে হেলম কনফিগারেশন ব্যবহার করতে পারেন. হেলম কনফিগারেশনের মাধ্যমে যুক্ত ব্যবহারকারীরা অ্যাপ্লিকেশন প্রারম্ভের সময় তৈরি করা হবে এবং রুট ব্যবহারকারী হিসাবে লেবেলযুক্ত হবে।
রুট ব্যবহারকারী কিছু বিধিনিষেধ নিয়ে আসুন: আপনি তাদের ব্যবহারকারীর নাম মুছতে, অক্ষম করতে, পরিবর্তন করতে বা তাদের অ্যাক্সেস সীমাবদ্ধ করতে পারবেন না। তবে আপনি তাদের বিশদ আপডেট করতে পারেন, যেমন তাদের পুরো নাম, ইমেল, বিবরণ বা তাদের পাসওয়ার্ড পুনরায় সেট করতে পারেন। এটি নিশ্চিত করে যে আপনার অ্যাপ্লিকেশনটিতে সর্বদা গ্যারান্টিযুক্ত অ্যাক্সেস রয়েছে।
আপনার যদি প্রাথমিক ব্যবহারকারীদের আপডেট করতে হয় তবে কেবল আপনার হেলম কনফিগারেশনটি সংশোধন করুন। আইলাম স্বয়ংক্রিয়ভাবে আপডেট হওয়া কনফিগারেশন প্রয়োগ করবে এবং পরবর্তী অ্যাপ্লিকেশন স্টার্টআপে রুট ব্যবহারকারীদের আপডেট করবে।
শুধু একটি অনুস্মারক: প্রাথমিক সেটআপের পরে পুরো ব্যবহারকারী পরিচালনার জন্য ইউআই / এপিআই ব্যবহার করুন। আপনি প্রথমবার লগ ইন করার সময় আপনার পাসওয়ার্ড পরিবর্তন করার সর্বোত্তম অনুশীলন।
আপনি এটি দিয়ে হেলমে প্রাথমিক ব্যবহারকারীদের যুক্ত করতে পারেন কনফিগারেশন.ইয়ামল :
ইলুম-কোর :
নিরাপত্তা :
অভ্যন্তরীণ :
ব্যবহারকারী :
- ব্যবহারকারীর নাম : "admin2"
পাসওয়ার্ড : "এডমিন"
ভূমিকা :
- "এডমিন"
- ব্যবহারকারীর নাম : "ব্যবহারকারী 2"
পাসওয়ার্ড : "এডমিন"
ভূমিকা :
- "ব্যবহারকারী"
Helm upgrade ilum ilum/ilum -f configuration.yaml --reuse-values
আপনি নীচের উদাহরণের মতো হেলমে ব্যবহারকারীর সমস্ত ক্ষেত্র কনফিগার করতে পারেন:
ইলুম-কোর :
নিরাপত্তা :
অভ্যন্তরীণ :
ব্যবহারকারী :
- ব্যবহারকারীর নাম : "আমার ব্যবহারকারী"
ইমেল : "ইমেইল"
পুরো নাম : "পুরো নাম"
ডিপার্টমেন্ট : "বিভাগ"
বর্ণনা : "বর্ণনা"
পাসওয়ার্ড : "পাসওয়ার্ড"
ভূমিকা :
- "রোল 1"
- "রোল 2"
- "রোল 3"
অনুমতি :
- "SERVICE_CREATE"
- "SERVICE_EXECUTE"
গোষ্ঠী :
- "GroupId1"
অবস্থা : সক্ষম
রুটস্টেট : মিথ্যা
দ্রষ্টব্য: আপনি যদি আপনার প্রাথমিক ব্যবহারকারীকে রুট ব্যবহারকারী হতে না চান তবে আপনি রুটস্টেট পতাকাটি মিথ্যা হিসাবে সেট করতে পারেন