Data Security Center (DSC) を購入したら、機密データを検出したり、Alibaba Cloud サービスでデータベースアクティビティを監査したりするために DSC を使用する前に、ApsaraDB RDS や PolarDB などの Alibaba Cloud サービスにアクセスすることを DSC に承認する必要があります。
サポートされているデータベース
DSC は、Alibaba Cloud 上のデータベース資産に対してのみデータセキュリティ機能を提供できます。詳細については、「サポートされているデータ資産タイプ」をご参照ください。
このトピックでは、DSC が ApsaraDB RDS にアクセスし、DSC を ApsaraDB RDS インスタンス上のデータベースに接続する方法について説明します。このトピックは、ApsaraDB RDS、PolarDB、PolarDB for Xscale (PolarDB-X)、PolarDB-X 2.0、ApsaraDB for Redis、ApsaraDB for MongoDB、ApsaraDB for OceanBase、Tablestore、AnalyticDB for MySQL、AnalyticDB for PostgreSQL などのデータベースタイプに適用できます。その他のデータベースタイプの詳細については、以下のトピックをご参照ください。
前提条件
DSC の無料版がアクティブ化されているか、有料版が購入されていること。 詳細については、「DSC の無料版をアクティブ化する」または「DSC を購入する」をご参照ください。
DSC がクラウドサービスにアクセスすることを承認されていること。詳細については、「Alibaba Cloud リソースに DSC がアクセスすることを承認する」をご参照ください。
ステップ 1:ApsaraDB RDS にアクセスすることを DSC に承認する
DSC コンソール にログインします。
Authorization Management タブで、[資産承認管理] をクリックします。
[資産承認管理] パネルの左側のペインで、RDS をクリックします。
オプション。Asset Authorization Management パネルで、Asset synchronization をクリックします。
DSC に初めてログインすると、DSC はクラウド内の資産を自動的に同期します。 DSC は毎日 00:00 に新しい資産をスキャンし、新しい資産を未承認の資産リストに自動的に同期します。 当日に作成された資産に DSC がアクセスすることを承認する場合は、資産を手動で同期する必要があります。
必要な資産を見つけ、承認[アクション] 列の をクリックします。
複数の資産に DSC がアクセスすることを承認する場合は、資産を選択し、[一括承認] をクリックします。
手順 2: DSC をデータベースに接続する
データベース接続モード
DSC は、データベースとデータベースアクティビティに格納されているデータを収集および分析して、データ分類、データ監査、セキュリティ態勢の監視、データマスキング機能を提供します。 これらの機能を提供するために、DSC はデータベースに接続する必要があります。 DSC は、ワンクリック接続とアカウントベースの接続モードをサポートしています。
接続モード | 説明 | サポートされている資産タイプ |
ワンクリック接続 | [承認管理] タブで、[接続] をクリックします。 [承認管理] タブでデータベースの [接続] をクリックすると、DSC はデータベースの読み取り専用アカウントを作成し、その読み取り専用アカウントを使用してデータベースに接続してデータ識別タスクを実行します。 匿名化されたデータをデータベースに保存することはできません。 | ApsaraDB RDS、PolarDB、PolarDB-X (旧称 DRDS)、ApsaraDB for Redis、Object Storage Service (OSS)、Tablestore、MaxCompute |
アカウントベースの接続 | ユーザー名とパスワードを含むアカウントを入力します。
|
|
上記の表とデータセキュリティ要件に基づいて接続モードを選択できます。
データベースがワンクリック接続をサポートしており、データベースをデータマスキングタスクの宛先データベースとして使用する必要がない場合は、ワンクリック接続モードを使用することをお勧めします。
データベースをデータマスキングタスクの宛先データベースとして使用する場合は、アカウントベースの接続モードを使用し、読み取りおよび書き込み権限を持つアカウントを使用してデータベースに接続します。
次のセクションでは、ApsaraDB RDS インスタンスを例として使用して、ワンクリック接続モードとアカウントベースの接続モードについて説明します。
ワンクリック接続
ワンクリック接続モードを使用して DSC をデータベースに接続すると、DSC はデフォルトのデータ識別タスクを作成してすぐに実行します。 タスクはデータベースからデータを読み取るため、データベースの読み取りパフォーマンスが低下します。 ワンクリック接続操作は、オフピーク時に行うことをお勧めします。
[承認管理] タブに移動し、管理する必要な資産を見つけ、[アクション] 列の [接続] をクリックします。
インスタンス上のデータベースに初めて接続すると、DSC はインスタンスに ali_sddp_group という名前のホワイトリストを作成します。 これにより、DSC はインスタンス上のデータベースに関する情報を取得できます。 ホワイトリストには、DSC によって使用される IP アドレスが含まれています。 IP アドレスはリージョンによって異なります。
DSC は、インスタンス上のデータベースの読み取り専用アカウントを作成します。 アカウントのプレフィックスは sddp_auto です。
インスタンスの横にある
アイコンをクリックして、データベースの接続ステータスと機能ステータスを表示します。
アカウントベースの接続
最小限の権限の原則に基づいて、独立したデータベースアカウントを使用することをお勧めします。 業務用アカウントや最高権限を持つアカウントは使用しないでください。
[承認管理] タブに移動し、管理するインスタンスを見つけ、[アクション] 列の Account Logon をクリックします。
Account Logon パネルで、接続するデータベースを見つけ、[アクション] 列の Add Credential をクリックします。
Add Credential ダイアログボックスで、Scan assets and identify sensitive data now. をオンまたはオフにし、OK をクリックします。
認証情報の管理の詳細については、「認証情報の管理」をご参照ください。
オフピーク時に DSC をデータベースに接続する場合は、[すぐにデータベース資産をスキャンしてデータを識別する] チェックボックスをオンにすることができます。 それ以外の場合は、チェックボックスをオフにします。 チェックボックスをオフにすると、DSC はデフォルトのデータ識別タスクを作成し、翌日の 00:00 にタスクを実行します。
インスタンス上のデータベースに初めて接続すると、DSC はインスタンスに ali_sddp_group という名前のホワイトリストを作成します。 これにより、DSC はインスタンス上のデータベースに関する情報を取得できます。 ホワイトリストには、DSC によって使用される IP アドレスが含まれています。 IP アドレスはリージョンによって異なります。
インスタンスの横にある
アイコンをクリックして、データベースの接続ステータスと機能ステータスを表示します。
次のステップ
DSC をデータベースに接続すると、DSC はデフォルトのデータ識別タスクを自動的に作成します。
[承認管理] ページで [接続] をクリックし、[すぐにデータベース資産をスキャンしてデータを識別する] を選択すると、DSC はデフォルトのデータ識別タスクをすぐに実行します。
[承認管理] ページで [接続] をクリックし、[すぐにデータベース資産をスキャンしてデータを識別する] をオフにした場合は、デフォルトのデータ識別タスクを手動で実行する必要があります。 タスクを実行するには、 を選択します。 [識別タスク] タブで、[デフォルトタスク] をクリックし、タスクを見つけて、[再スキャン] をクリックします。
説明再スキャン操作は DSC Enterprise Edition のみでサポートされています。 DSC Basic Edition は再スキャン操作をサポートしていません。
システムは、メインの識別テンプレートと共通の識別テンプレートを自動的に使用して、接続された資産をスキャンします。 デフォルトでは、メインの識別テンプレートはインターネット業界分類テンプレートです。 データ識別タスクのステータスを確認して、データ識別タスクの完了時刻を確認できます。
デフォルトのデータ識別タスクの完了時刻を表示します。 詳細については、「デフォルトの識別タスクを表示する」をご参照ください。
データ識別結果を表示します。 詳細については、「機密データ識別結果を表示する」をご参照ください。