《ODPS权威指南》1.2 基本概念.pdfVIP

@2017 《ODPS 权威指南》1.2 基本概念 下面将介绍 ODPS 的一些重要术语，了解这些术语的含义是理解并使用 ODPS 服务的基 础。 通俗地说，用户要访问 ODPS 服务，首先需要有账号（Account），账号唯一能 “标 识你是谁”。当发送请求使用服务时，需要执行认证（Authentication），它相当于服务端 “识别你是谁”。为了实现数据存储和计算的独立性，引入了项目空间（Project）的概念， 项目空间就相当于 “你自己的家”，不同项目空间相互独立。 在项目空间下，按数据存储 单元的粒度划分，包括表（Table）和分区（Partition）；按用户权限划分，包括所有者（Owner）、 管理员（Admin）和普通用户（User）。如果你创建了一个 Project，你就是这个 Project 的 Owner ，所有东西都是你的。你可以在自己的项目空间下添加其他成员，并给他们授权 （Authorization）。 用户的任何操作，都需要在项目空间下执行。也就是说，必须先进入 项目空间，才能执行操作。为了执行某些计算，提交查询请求，会生成作业（Job）。当作 业开始运行时，就有了一个作业实例（Instance）。当用户实现 MapReduce 程序，希望提 交到服务端运行时，需要把程序上传到ODPS 上，相当于创建一个ODPS 资源（Resource）。 1.3.1 账号（Account） 账号（也称云账号）是使用阿里云服务的统一账号。用户可以在阿里云官网 （http://www. ）上申请注册云账号，购买开通 ODPS 服务后，系统会分配密钥（即安全加密 对）：AccessID 和 AccessKey ，加密对可以确保用户的数据和计算安全。当用户通过账号 访问 ODPS 服务时，系统会对密钥进行认证。假设用户 Alice 要访问 ODPS 服务，这个过 程如图 1-1 所示。 @2017 Alice 发送请求时，会先计算 AccessKey 的签名，在请求中包含AccessID 和签名，ODPS 服务端接收到请求后，会从云账号服务获取AccessID ，并对AccessKey 计算签名，如果计 算的签名和用户请求发送的签名一致，则认证成功。对于用户来说，如果希望其他人（比如 一起开发的同事）也可以访问其应用，则可以授权给他。 除了云账号外，ODPS 也支持淘 宝账号，通过淘宝账号支持的 OAuth 协议实现第三方认证功能。这里，我们建议用户使用 云账号来访问 ODPS 服务，有两个原因：一是创建云账号非常简单，零成本；二是通过云 账号方式访问，不涉及账号密码，可以在配置中设置AccessID 和 AccessKey ，便于程序自 动化运行；而通过淘宝账号方式，为了保护用户密码安全，不支持直接配置用户密码，需要 在交互模式下输入密码，这在一定程度上给程序自动化运行带来麻烦。 什么是 OAuth？ OAuth 协议为用户资源授权提供了一种安全、开放而又简易的标准，允许用户让第三方应 用访问该用户在某一服务上存储的资源（如照片、联系人列表、视频等），而无需将用户名 和密码提供给第三方应用。 举个简单的例子，假设 Alice 和 Bob 都是阿里云用户，那么 Alice 可以将自己存储的照片授权给 Bob 访问。需要注意的是，这种授权是封闭授权，它只 支持在同一个系统内部的用户之间的授权，而不支持和其他外部系统或用户的授权。比如说， Alice 想把阿里云服务上存储的照片通过网易印像服务打印出来，她如何能做到呢？ 也许 有人会说，Alice 可以将自己的阿里云账号的用户名和密码告诉网易印像服务，事情不就解 决了吗？是的，但只有毫不关注安全和隐私的同学才会出此 “绝招”。那么一起来想一想， 这一 “绝招”存在哪些问题？一是网易印像服务可能会缓存 Alice 的用户名和密码，可能没 有加密保护。它一旦遭到攻击，Alice 就会躺着中枪。二是网易印像服务可以访问 Alice 在 阿里云上的所有资源，Alice 无法对他们进行最小的权限控制，比如只允许访问某一张照片， 1 小时内访问有效。三是 Alice 无法撤消她的授权，除非 Alice 更新密码。 在以 Web 服务 为核心的云计算时代，像用户 Alice