機密データ保護機能を有効にし、データベースインスタンスのスキャンタスクを作成する - Data Management

このトピックでは、機密データ保護機能を有効にし、データベースインスタンスのスキャンタスクを作成し、スキャン結果を表示する方法について説明します。

前提条件

データ管理 (DMS) 管理者、データベース管理者 (DBA) 、またはセキュリティ管理者です。
説明
アカウントのロールを表示するには、DMSコンソールの右上隅にあるアイコンの上にポインターを移動します。
サポートされるデータベース
- リレーショナルデータベース：
  - MySQL: ApsaraDB RDS for MySQL、PolarDB for MySQL、および他のソースからのMySQLデータベース
  - SQL Server: ApsaraDB RDS for SQL Serverおよび他のソースのSQL Serverデータベース
  - PostgreSQL: ApsaraDB RDS for PostgreSQL、PolarDB for PostgreSQL、および他のソースからのPostgreSQLデータベース
  - MariaDB: 他のソースからのApsaraDB RDS for MariaDBおよびMariaDBデータベース
  - PolarDB for PostgreSQL (Oracleと互換)
  - PolarDB for Xscale (PolarDB-X)
  - OceanBase
  - Oracle
  - Db2
  - ダメン (DM)
  - Lindorm: Lindorm_CQLおよびLindorm_SQL
  - openGauss
- データウェアハウス
  - AnalyticDB for MySQL
  - AnalyticDB for PostgreSQL
  - データレイク分析 (DLA)
  - ClickHouse
  - MaxCompute
  - Hologres
  - Hive
機密データ保護機能が購入されました。詳細については、「DMSサービスの購入」をご参照ください。
説明
この機能を購入するには、DMSコンソールの右上隅にあるアイコンの上にポインターを移動し、DMS注文管理を選択します。表示されるダイアログボックスで、機密データ保護機能を有効にできるインスタンスの使用可能な数を表示します。

機密データ保護機能の有効化

インスタンスの機密データ保護機能は、インスタンスの [編集] ダイアログボックスまたは [機密データ] モジュールで有効にできます。

[編集] ダイアログボックスで機密データ保護機能を有効にする

DMSコンソールV5.0 にログインします。
[ホーム] タブの左側のデータベースインスタンスリストで、管理するデータベースインスタンスを見つけ、データベースインスタンスを右クリックします。
[編集] を選択します。
[編集] ダイアログボックスの [基本情報] セクションで、[高度な機能パック] パラメーターとして [機密データ保護] を選択し、[分類テンプレート] ドロップダウンリストから分類およびグレーディングテンプレートを選択します。分類およびグレーディングテンプレートは、データベースインスタンス内の機密データをスキャンして識別するために使用されます。
[保存] をクリックします。

機密データモジュールで機能を有効にする

DMSコンソールV5.0 にログインします。
上部のナビゲーションバーで、セキュリティと仕様 > 機密データ > 機密データ資産を選択します。
説明
DMSコンソールをシンプルモードで使用する場合は、左上隅のアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [機密データ] > [機密データ資産] を選択します。
[機密データ資産] タブで、未開封のタブインスタンスリストセクションにアクセスします。
管理するデータベースインスタンスを検索し、今すぐ有効にするで、操作列を作成します。
説明
機密データ保護機能が無効になっているインスタンスのみがこのタブに表示されます。
機密データ保護の有効化ダイアログボックスで、すぐにスキャンタスクを設定するかどうかを指定します。
- すぐにスキャンタスクを設定しない場合は、[スキャンタスクの設定] をオフにします。この機能を有効にした後、[機密データ資産] タブに移動し、[インスタンスリスト] セクションの [有効] タブをクリックして、スキャンタスクを設定します。
- スキャンタスクをすぐに設定する場合は、スキャン方法と範囲を選択し、スキャン結果をすぐに適用するかどうかを指定します。詳細については、このトピックの「スキャンタスクの設定」をご参照ください。
[OK] をクリックします。

スキャンタスクの設定

[機密データ資産] タブで、[インスタンスリスト] セクションの [有効] タブをクリックします。管理するデータベースインスタンスを見つけて、[操作] 列の [スキャンタスクの設定] をクリックします。

説明

DMSがデータベースインスタンスのスキャンタスクを実行すると、DMSは指定されたデータベースのメタデータをスキャンし、100をランダムにスキャンしてデータベース内のデータエントリを200します。データはスキャンタスクの機密データ分析にのみ使用され、他の目的では保存されません。

パラメーター	説明
スキャン方法	[Immediate Task (Task Immediate Run Only Once)] を選択した場合、DMSは指定されたデータベースを直ちにスキャンし、タスクの設定後に機密データをマークします。スケジュールされたタスク (指定された時刻に1回のみタスク実行) を選択した場合、日付と時刻を選択する必要があります。 DMSは指定されたデータベースを自動的にスキャンし、機密データをスケジュールどおりにマークします。 [定期タスク] を選択した場合、スケジューリングサイクルと特定の時点を設定する必要があります。 DMSは、指定されたデータベースを自動的にスキャンし、機密データを定期的にマークします。
スコープ	スキャンスコープ。有効な値: [すべてのデータベース] および [特定のデータベース] 。 [特定のデータベース] を選択すると、複数のデータベースを選択できます。
すぐにスキャン結果を適用しますか?	識別結果のフィールドに、データカテゴリとセキュリティレベルでタグをすぐに追加するかどうかを指定します。有効な値：はいいいえ (識別結果に移動して手動で適用します。) 手動で識別結果を適用するには、[識別結果] パネルに移動する必要があります。

OK をクリックします。
インスタンスへのアクセスを許可します。インスタンスへのアクセスを許可すると、インスタンス内の機密データが自動的に検出されます。インスタンスのスキャンタスクを設定する前に、インスタンスへのアクセスを許可する必要があります。
説明
データベースインスタンスがSecurity Collaborationモードで管理されている場合、システムは自動的にインスタンスへのアクセスを許可します。この場合は、この手順をスキップしてください。
1. [有効] タブで、アクセスを許可するデータベースインスタンスを見つけ、[操作] 列の [アカウント権限付与] をクリックします。
2. [アカウント認証] ダイアログボックスで、データベースインスタンスのデータベースアカウントとデータベースパスワードを入力します。
3. OK をクリックします。

識別結果の表示

識別結果を表示します。
[概要] セクションで、[スキャン済み] の下の番号をクリックして、[識別タスクログ] ページに移動します。識別結果を表示するスキャンタスクを見つけ、[実行履歴] 列の番号をクリックします。 [識別結果] パネルで、識別結果を表示できます。
説明
または、[インスタンスリスト] セクションに移動し、スキャンタスクと識別結果を表示するインスタンスを見つけて、[操作] 列の [タスクの詳細] をクリックします。
手動で識別結果を適用します。スキャン結果をすぐに適用しますか? パラメーターを [はい] に設定すると、システムは自動的に識別結果を適用します。この場合は、次の手順をスキップしてください。
1. [識別タスクログ] ページに移動します。
2. 識別結果を表示するスキャンタスクを見つけ、[実行履歴] 列の番号をクリックします。
3. [識別結果] パネルで、[操作] 列の [テイクエフェクト] をクリックして、識別結果を手動で適用します。
オプションです。データベースインスタンス内の機密データの分布と機密レベルを表示するには、[操作] 列の [機密データリスト] をクリックします。表示されるページで、[フィールドコントロール] タブをクリックします。 [フィールドコントロール] タブで機密フィールドを管理することもできます。たとえば、フィールドの機密レベルを調整したり、フィールドのデータマスキングルールを変更したり、フィールドに対する権限を付与したりできます。詳細については、「機密データの管理」をご参照ください。

機密データ保護機能を無効にする方法については、「機密データ保護機能の無効化」をご参照ください。