Alauda Container Platform
  • Русский

    • Введение

    Содержание

    Введение в продукт

    ACP API Refiner — это сервис фильтрации данных, предоставляемый платформой Alauda Container Platform, который повышает безопасность мультиарендности и изоляцию данных в Kubernetes-средах. Он фильтрует данные ответов Kubernetes API на основе прав пользователя, проектов, кластеров и пространств имён, а также поддерживает фильтрацию на уровне полей, включение и десенситизацию данных.

    Преимущества продукта

    Основные преимущества ACP API Refiner заключаются в следующем:

    • Многомерная изоляция данных

      • Поддержка фильтрации ответов API по измерениям проекта, кластера и пространства имён
      • Обеспечение корректных границ данных между разными арендаторами
      • Предотвращение несанкционированного доступа к ресурсам с областью действия кластера

    • Гибкая фильтрация данных

      • Поддержка исключения, включения и десенситизации конкретных полей в ответах API
      • Настраиваемые правила фильтрации через YAML-конфигурацию
      • Динамическая генерация Ingress для разных типов ресурсов

    • Повышенная безопасность

      • Реализация аутентификации пользователей на основе JWT-токенов
      • Предоставление тонкой настройки контроля доступа на основе прав пользователя
      • Поддержка десенситизации данных для конфиденциальной информации

    Сценарии использования

    Основные сценарии применения ACP API Refiner включают:

    • Среда мультиарендности

      • Обеспечение корректной изоляции данных между разными арендаторами
      • Предотвращение несанкционированного доступа к ресурсам с областью действия кластера
      • Эффективное управление сценариями с общими пространствами имён

    • Защита конфиденциальных данных

      • Фильтрация конфиденциальной информации из ответов API
      • Поддержка десенситизации данных на уровне полей
      • Защита конфиденциальных метаданных и аннотаций

    • Требования соответствия

      • Помощь в выполнении требований по изоляции данных
      • Поддержка аудита и требований соответствия
      • Поддержание границ доступа к данным

    Ограничения

    К ACP API Refiner применяются следующие ограничения:

    • Ресурсы должны содержать определённые метки, связанные с арендатором, для изоляции данных:

      • cpaas.io/project
      • cpaas.io/cluster
      • cpaas.io/namespace
      • kubernetes.io/metadata.name
      • Необязательно: cpaas.io/creator

    • Запросы LabelSelector не поддерживают логическую операцию OR

    • Пользовательские привязки на уровне платформы не фильтруются

    • Фильтрация применяется только к операциям API GET и LIST