随着云计算中多个用户访问机密信息以便于执行数据分析工作的情况越来越多，安全性控制也变得日益重要了。NoSQL数据库是大型数据集应用中最受欢迎的数据库选择，但是NoSQL数据存储的早期版本并未重视数据安全性方面的功能。目前，大数据管理员们不仅可以利用NoSQL的优点，而且还仍然保持对某些能够访问云计算中数据子集人员的控制权限。

根据数据库中数据的不同模式，IT管理员们和云计算专家们能够实施各种不同粗细粒度的NoSQL访问控制措施。在你无意中泄漏个人数据之前，可以考虑采用NoSQL的内置数据访问控制措施。
确保NoSQL数据存储的安全性有三种不同的方法，而其中每一种方法都有其各自的优缺点：Accumulo基于单元的访问控制、亚马逊DynamoDB使用AWS的身份访问管理（IAM）策略以及MarkLogic的隔离间控制与执行权限。

Accumulo数据存储

Accumulo是一个基于谷歌Big Table、采用键值的分布式数据存储。这个开源选项是由美国国家安全局开发，并于2011年发布的。Accumulo是一个可在Hadoop环境中运行的Apache项目，它具有Big Table中所没有的功能，其中被包括了基于单元的访问控制。

Accumulo的键包括了一个指定安全性标签的可见属性，例如管理员、财务或管理员等。因为每一个键都与一个值相关，相当于关系型表格中的一行，所以基于键的访问控制也就限制了用户能够查询或操作的行的集合。然后，用户就会被分配指定某种安全性标签的授权，它可被组合在逻辑表达式中以便于创建所需的访问控制。例如，一个财务部的经理就会被分配“经理”和“财务”两个标签。

应用程序和数据库管理员们将确定标签组以及是如何根据企业的安全性政策具体实施它们的。

用户授权就存储在受信任的第三方授权服务器上。当一个应用程序执行操作（例如一次查询或一次更新）时，用户授权就会从第三方被找回并发送回Accumulo。因此，当执行一个操作时，将把用户授权集与数据单元进行比较，那么对于特定用户所能访问的行集合是有限的。

亚马逊DynamoDB

亚马逊的Dynamo数据库（DB）是增长速度最快的亚马逊网络服务（AWS）产品之一。DynamoDB是一个提供自动化的可扩展性和配置IOPS的键-值数据存储服务。对于开发人员和更喜欢使用一个托管服务来管理他们自己的NoSQL数据库的应用程序管理员来说，亚马逊的DynamDB是一个不错的选择。对于已经投入时间和资源建立IAM策略的AWS用户来说，这是特别有吸引力的，因为他们可以精细地控制对保存在亚马逊DynamoDB中数据的访问。

为了在亚马逊DynamoDB中保持细粒度的访问控制，管理员们必须在IAM策略中指定条件。条件可以允许或拒绝对键-值数据存储中特定项和属性的访问。这一模式限制了对特定值或行的访问，例如与特定客户账户相关的数据，这样一来客户就只能查看他们自己的数据了。它还允许应用程序管理员们为访问特定属性而定义规则。例如，一个策略可以指定只有甘愿而非顾客可以查看数据库中的一个类别属性。

MarkLogic

基于文档的NoSQL数据库（例如MarkLogic）可以扩展基于角色的访问控制以便于把角色和文档归入不同的隔离间。隔离间可允许访问控制检查和标准的基于角色的控制。如果一个文档被分配了一个隔离间，那么只有被分配了相同隔离间的用户才能够访问这个文档。

MarkLogic还提供了对对操作执行的访问控制。这个数据库包括了一组可处理数据管理、安全性以及其他管理操作的预定义执行权限。数据库管理员们能够通过创建执行权限来控制执行查询的能力。在查询的定义中包含了一个执行权限，并被分配给角色。只有被分配了拥有必要执行权限的角色的用户才能够执行查询操作。

作者简介：

Dan Sullivan，理学硕士，他是一名拥有超过20年IT经验的作家、系统架构师和顾问。他曾从事高级分析、系统架构、数据库设计、企业安全以及商业智能等工作，他曾在很多行业工作，其中包括金融服务业、制造业、制药业、软件开发业、政府部门、零售业以及教育业。Dan曾就多个主题撰写了大量文章，如数据仓库、与安全管理相关的云计算技术和先进分析、协作以及文本挖掘。