#介绍

#产品介绍

ACP API Refiner 是由 Alauda Container Platform 提供的数据过滤服务，旨在增强 Kubernetes 环境中的多租户安全性和数据隔离。它基于用户权限、项目、集群和命名空间对 Kubernetes API 响应数据进行过滤，同时支持字段级别的过滤、包含和数据脱敏。

#产品优势

ACP API Refiner 的核心优势如下：

• 多维度数据隔离

  • 支持基于项目、集群和命名空间维度过滤 API 响应
  • 确保不同租户之间的数据边界
  • 防止未授权访问集群范围资源

• 灵活的数据过滤

  • 支持排除、包含和脱敏 API 响应中的特定字段
  • 通过 YAML 配置实现过滤规则的可配置化
  • 针对不同资源类型动态生成资源 Ingress

• 增强的安全性

  • 实现基于 JWT token 的用户认证
  • 提供基于用户权限的细粒度访问控制
  • 支持敏感信息的数据脱敏

#应用场景

ACP API Refiner 的主要应用场景如下：

• 多租户环境

  • 确保不同租户之间的数据隔离
  • 防止未授权访问集群范围资源
  • 有效管理共享命名空间场景

• 敏感数据保护

  • 过滤 API 响应中的敏感信息
  • 支持字段级别的数据脱敏
  • 保护敏感的元数据和注解

• 合规需求

  • 帮助满足数据隔离要求
  • 支持审计和合规需求
  • 维护数据访问边界

#限制

ACP API Refiner 适用以下限制：

• 资源必须包含特定的租户相关标签以实现数据隔离：

  • cpaas.io/project
  • cpaas.io/cluster
  • cpaas.io/namespace
  • kubernetes.io/metadata.name
  • 可选：cpaas.io/creator

• LabelSelector 查询不支持逻辑 OR 操作

• 平台级别的 userbindings 不会被过滤

• 过滤仅应用于 GET 和 LIST API 操作