Zilliz Cloud усиливает защиту данных с помощью более детального RBAC
Управление доступом на основе ролей (RBAC) — это ключевая модель безопасности, формирующая управление доступом к системе на основе ролей и обязанностей пользователей в организации. В июле прошлого года мы представили начало реализации некоторой функциональности RBAC в Zilliz Cloud, упростив управление доступом команды с помощью трех ключевых ролей: владелец организации, участник организации и владелец проекта.
Отвечая на запросы клиентов, наш последний релиз Zilliz Cloud расширяет эту функцию, предлагая более детализированные возможности RBAC для улучшенного управления доступом, изоляции и защиты данных. В этой публикации рассматриваются обновленные роли и возможности, а также иллюстрируется их практическое применение на примерах использования. Давайте погрузимся.
Понимание организаций и проектов
Чтобы понять RBAC в Zilliz Cloud, давайте углубимся в фундаментальные концепции, связанные с организациями и проектами.
Zilliz Cloud предоставляет надежную структуру для контроля доступа в трех отдельных областях: пользователь учетной записи, организация и проект.
Пользователь учетной записи относится к вашей учетной записи Zilliz Cloud.
Организации служат сущностями, которые группируют проекты с общими целями. Вы можете создавать уникальные проекты, которые обрабатывают конкретные ресурсы для выставления счетов, управления API-ключами, участниками, действиями, настройками и корзиной на уровне организации.
Проекты функционируют как логические контейнеры, вложенные в организацию, группируя кластеры и другие связанные ресурсы с общей целью. Пользователи могут создавать несколько кластеров и управлять ресурсами уровня кластера в рамках проекта, включая кластеры, участников проекта, конвейеры, безопасность и оповещения проекта.
Как работает RBAC в Zilliz Cloud?
В Zilliz Cloud доступ пользователей к системе базы данных контролируется назначенными ролями. Пользователям может быть назначена одна или несколько ролей, и каждая роль определяет степень пользовательского доступа. Эти роли включают привилегии, связанные с конкретными ресурсами, такими как базы данных, коллекции, кластеры, и разрешенные действия. Пользователи не имеют доступа за пределами назначенных им ролей. Вы можете назначать роли при создании учетной записи пользователя или обновлять роли для существующих пользователей, обеспечивая постоянную гибкость в управлении доступом.
Zilliz Cloud предлагает две основные категории ролей, адаптированные к разнообразным требованиям разработчиков: роли операционного уровня и уровня данных.
Роли операционного уровня
В рамках операционного уровня Zilliz Cloud включает четыре роли организации и проекта, каждая из которых служит отдельным целям.
Владелец организации: Эта роль контролирует организацию, управляя настройками, способами оплаты, счетами, API-ключами, всеми проектами и связанными ресурсами.
Участник организации: Эта роль имеет ограниченный доступ, позволяя пользователям просматривать настройки организации и приглашать новых участников в организацию.
Владелец проекта: Эта роль полностью контролирует конкретный проект, включая настройки проекта, API-ключ, все кластеры в рамках проекта и связанные ресурсы.
Участник проекта: Эта роль предоставляет ограниченный доступ к проекту, позволяя пользователям читать и записывать данные во все кластеры проекта, просматривать сведения о кластере и управлять коллекциями и индексами.
Роли уровня данных
Zilliz Cloud вводит роли кластера на уровне данных, включая три предопределенные роли и возможность создавать пользовательские роли для более детализированного контроля доступа. Предопределенные роли включают:
Администратор: Эта роль обладает самым высоким уровнем контроля над кластером и способна выполнять все операции.
Чтение-запись: Эта роль может читать и записывать данные внутри кластера.
Только чтение: Эта роль может читать все данные внутри кластера.
Примечание: Создателю кластера будет автоматически назначена роль Администратор.
Помимо трех предопределенных ролей, Zilliz Cloud позволяет создавать пользовательские роли, давая разработчикам возможность точно настраивать разрешения для конкретных коллекций, разделов или операций. Такая настройка обеспечивает минимальные привилегии доступа к данным, позволяя разработчикам создавать роли, точно соответствующие их операционным потребностям, для более индивидуального и безопасного подхода.
Более подробную информацию см. в нашей документации RBAC.
Как RBAC в Zilliz Cloud работает в реальных сценариях использования
Теперь, когда мы рассмотрели возможности ролей Zilliz Cloud, давайте перейдем к практическим аспектам эффективного создания и использования этих ролей. В этом разделе приведены два примера, показывающие, как можно использовать возможности RBAC в Zilliz Cloud для улучшения стратегий управления данными и обеспечения безопасности.
Межкомандное сотрудничество в компании среднего размера
Допустим, вы руководите инфраструктурной командой в компании среднего размера и сотрудничаете с несколькими бизнес-подразделениями, включая команды финансов, клиентского сервиса и электронной коммерции. Как руководитель инфраструктуры, вы должны эффективно управлять векторной базой данных для различных AI-приложений. Другим бизнес-командам может потребоваться доступ для чтения и записи данных в коллекциях базы данных, а также изоляция данных. С другой стороны, финансовой команде требуется только возможность управлять способами оплаты базы данных и заниматься выставлением счетов.
В этом случае рассмотрите следующие назначения ролей.
Назначьте себе и финансовой команде роль Владелец организации в Zilliz Cloud. Такой подход предоставляет вам контроль над базой данных, позволяя создавать кластеры, выполнять операции масштабирования, отслеживать использование ресурсов кластера и более эффективно управлять базой данных. Финансовая команда, в свою очередь, сможет эффективно управлять способами оплаты и выставлением счетов.
Назначьте членам своей команды роль Участники проекта, чтобы они могли отслеживать занятость ресурсов кластера, создавать таблицы и изменять данные во всех кластерах.
Создайте один общий кластер для команд клиентского сервиса и электронной коммерции и предоставьте им Пользовательские роли с детализированным доступом к ресурсам кластера. Такой подход снижает затраты и эффективно изолирует данные обеих команд.
Управление базой знаний на основе RAG
Представьте, что вы SaaS-компания, предоставляющая интеллектуальную базу знаний на основе RAG. Это приложение позволяет пользователям легко загружать документы и отвечать на вопросы, используя знания, хранящиеся в Zilliz Cloud. У вас около 20 000 небольших клиентов, каждый из которых управляет менее чем 100 000 векторных точек документов, и примерно 50 крупных клиентов со значительными объемами данных — от десятков миллионов до миллиардов векторов. Этим крупным клиентам требуется строгая изоляция данных, и они ожидают бесшовной внешней интеграции для данных своей базы знаний.
В этом сценарии использования вашим клиентам не нужно входить в Zilliz Cloud; вместо этого вам и членам вашей команды следует назначить Роли организации и проекта для упрощенного управления доступом.
Создайте общий кластер для всех небольших клиентов, чтобы сэкономить средства. Их файлы с похожими структурами можно хранить в общей коллекции, используя Partition Key для эффективной изоляции данных. Когда клиенты выполняют запросы, возвращаются только данные из их раздела, что оптимизирует эффективность.
Для крупных клиентов создайте независимые кластеры, адаптированные к их конкретному масштабу данных. Сгенерируйте Customized API Keys для каждого крупного клиента со встроенными ролями чтения и записи, подключающимися к их выделенному кластеру. Такой подход обеспечивает безопасность данных и способствует плавной интеграции с внешними приложениями.
Эта стратегия обеспечивает эффективное управление данными как для малых, так и для крупных клиентов, сочетая экономическую эффективность, изоляцию данных и масштабируемость. Кроме того, она предоставляет гибкость, необходимую для бесшовной интеграции с внешними приложениями, что особенно важно для более крупных клиентов в вашей пользовательской базе.
Заключение
В заключение, расширенные возможности RBAC в Zilliz Cloud представляют собой значительный шаг вперед в защите данных, предлагая более тонкое управление доступом, улучшенную изоляцию данных и повышенную безопасность. В этой публикации были рассмотрены нюансы обновленных возможностей RBAC, а также подчеркнуты их практические применения на реальных примерах использования, таких как межкомандное сотрудничество в компании среднего размера и управление базой знаний на основе RAG.
Читать далее

VDBBench Adds Cost-Aware Benchmarking for Vector Databases
Compare Zilliz Cloud, Pinecone, and turbopuffer with VDBBench cost-aware vector database benchmarks across latency, freshness, multitenancy, and cold starts.

Zilliz Cloud On-Demand Compute: Pay Only for What You Use
The customer case behind Zilliz Cloud On-Demand: how a $10K vector search bill came down to under $500, and the engineering changes that made it possible.

Introducing DeepSearcher: A Local Open Source Deep Research
In contrast to OpenAI’s Deep Research, this example ran locally, using only open-source models and tools like Milvus and LangChain.



