Data Security Center (DSC) を使用すると、データ資産情報を収集および分析し、クラウド内の機密データを識別、分類、およびタグ付けできます。このトピックでは、DSC コンソールで機密データを効率的に識別、分類、およびタグ付けする方法について説明します。
前提条件
DSC に接続するデータベースが利用可能です。 DSC でサポートされているデータベースの種類とリージョンについては、サポートされているデータ資産の種類 および サポートされているリージョン を参照してください。
この例では、中国 (張家口) リージョンの ApsaraDB RDS for SQL Server インスタンスのテーブルを使用します。 ApsaraDB RDS for SQL Server インスタンス、データベース管理アカウント、およびデータベースの作成方法の詳細については、ApsaraDB RDS for SQL Server インスタンスの作成 および アカウントとデータベースの作成 を参照してください。
Resource Access Management (RAM) ユーザーを使用して DSC を購入および使用する場合、RAM ユーザーには DSC にアクセスするための権限が付与されます。 詳細については、RAM ユーザーに DSC へのアクセスを承認する を参照してください。
手順 1:DSC を購入し、認証を完了する
DSC は無料版を提供しています。無料版は、毎月固定仕様のリソースを提供します。詳細については、DSC 無料版 を参照してください。この例では、DSC の無料版を使用します。
現在のアカウントが DSC 無料版のアクティブ化の資格を満たしていない場合は、DSC の有料版を購入できます。詳細については、DSC の購入 を参照してください。
DSC コンソール にログインします。 [無料版をアクティブ化] をクリックします。
プロンプトが表示されたら、他のクラウド リソースにアクセスするための DSC を承認します。詳細については、Alibaba Cloud リソースにアクセスするための DSC の承認 を参照してください。
手順 2:データベースを DSC に接続する
データ資産を DSC に接続した後にのみ、機密データを識別、分類、およびタグ付けできます。この例では、ApsaraDB RDS データベースを使用します。
認証管理 ページで、 Asset Authorization Management をクリックします。
Asset Authorization Management パネルの [非構造化データ] セクションで [RDS] をクリックし、 Asset synchronization をクリックします。
DSC に接続する ApsaraDB RDS データベースが資産リストにある場合は、この手順をスキップします。
[未承認] タブで、管理する ApsaraDB RDS データベースを見つけ、[アクション] 列のAuthorization をクリックします。
Authorization Management ページに戻り、ApsaraDB RDS データベースを見つけ、[アクション] 列のConnect をクリックします。
説明[認証管理] タブでデータベースの [接続] をクリックすると、DSC はデータベースの読み取り専用アカウントを作成し、そのアカウントを使用してデータベースに接続してデータ識別タスクを実行します。この場合、DSC はデータベースに対する読み取り専用権限を持ちます。
Connect ダイアログ ボックスで、 Scan assets and identify sensitive data now. を選択し、 OK をクリックします。 DSC はデフォルトのデータ識別タスクを作成し、すぐに実行します。
重要オフピーク時にすぐにデータをスキャンし、ワークロードを監視して、データ識別タスクがワークロードに影響を与えないようにすることをお勧めします。
[認証管理] ページに戻り、
アイコンをクリックし、データが更新されるまで待ってから、データベースの接続ステータスと機能ステータスが正常かどうかを確認します。次の図は、通常の接続ステータスと機能ステータスを示しています。
手順 3: データ識別タスクの状態を確認する
[認証管理] ページで [接続] をクリックし、Scan assets and identify sensitive data now. を選択すると、DSC はデフォルトのデータ識別タスクを作成し、すぐに実行します。 DSC は、メイン識別テンプレートと共通識別テンプレートを自動的に使用して、接続されたデータベースをスキャンします。デフォルトでは、メイン識別テンプレートは インターネット業界向け分類テンプレート です。データ識別タスクが完了した後でのみ、識別結果を表示できます。
タスク ページの [識別タスク] タブで、 Default Tasks をクリックします。
[識別タスクの監視] ページで、接続されたデータベース用に作成されたデフォルトのデータ識別タスクのスキャン ステータスを表示します。
データ識別タスクの完了に必要な時間は、スキャンする必要があるデータ量によって異なります。大量のデータをスキャンするには、長時間を要します。
[スキャン ステータス] が [完了] の場合にのみ、識別結果を表示できます。
ステップ 4:識別結果の表示
資産インサイト ページのタブで、スキャンされたデータベース インスタンスとデータベースを見つけます。 DSC は、次の図に示す識別結果を返します。結果には、[機密レベル] と [データ タグ] が含まれます。
色が濃いほど、機密レベルが高いことを示します。 N/A は、機密データが識別されていないことを示します。 [個人情報] (
) と [個人機密情報] (
) タグのみを追加できます。
データベースを見つけ、[アクション] 列の Table details をクリックします。表示されるパネルで、識別されたテーブルの統計と機密列を表示します。
概要
識別結果に基づいて、承認されたデータ資産の機密データを識別、分類、およびタグ付けできます。タグは、[個人情報]、[個人機密情報]、および [一般情報] です。
データ資産へのアクセス
DSC は、次のデータ資産をサポートしています。ApsaraDB RDS、PolarDB、PolarDB for Xscale (PolarDB-X)、PolarDB-X 2.0、ApsaraDB for Redis、ApsaraDB for MongoDB、ApsaraDB for OceanBase、Tablestore、AnalyticDB for MySQL、AnalyticDB for PostgreSQL、Object Storage Service (OSS)、MaxCompute、および Elastic Compute Service (ECS) インスタンスでホストされているセルフマネージド データベース。詳細については、資産認証 を参照してください。
データ識別テンプレートの柔軟な選択
DSC がデータ資産にアクセスすることを承認すると、DSC はメイン識別テンプレートと共通識別テンプレートを自動的に使用して、接続されたデータ資産をスキャンします。デフォルトでは、メイン テンプレートはインターネット業界向け分類テンプレートです。
インターネット業界向け分類テンプレートは、DSC が機密データを識別するために使用する組み込みテンプレートです。 識別設定 ページで、メイン テンプレートを別の組み込み識別テンプレートまたはカスタム識別テンプレートに変更できます。カスタム識別テンプレートのカスタム識別モデルとカスタム機能を設定できます。詳細については、識別テンプレートの表示と設定 を参照してください。
カスタムデータ識別タスク
DSC では、メイン識別テンプレートと他の 2 つの識別テンプレートを有効にして、機密データを識別、分類、およびタグ付けできます。デフォルトのデータ識別タスクは、メイン識別テンプレートを使用します。 タスク ページでデータ識別タスクを作成し、有効なメイン以外のテンプレートを選択して特定のデータ資産をスキャンできます。詳細については、識別タスクを使用した機密データの識別 を参照してください。
