DSC が ECS インスタンスでホストされているセルフマネージドデータベースにアクセスすることを承認する - Data Security Center

Data Security Center (DSC) を購入し、Elastic Compute Service (ECS) インスタンスでホストされているセルフマネージドデータベースの機密データを検出したり、異常な操作を監視したりするために DSC を使用する場合、DSC がデータベースにアクセスすることを承認する必要があります。

制限事項

ECS インスタンスでホストされているセルフマネージドデータベースは、仮想プライベートクラウド (VPC) 内に存在する必要があります。
MySQL、SQL Server、および Oracle のデータベースタイプがサポートされています。

前提条件

DSC が購入され、クラウドサービスへのアクセスが承認されています。詳細については、「DSC の購入」および「DSC が Alibaba Cloud リソースにアクセスすることを承認する」をご参照ください。

ステップ 1：DSC がセルフマネージドデータベースにアクセスすることを承認する

管理するデータベースにログオンし、次のコマンドを実行して、特定のデータベースユーザーとして DSC がデータベースにアクセスすることを承認します。次の例では、ECS インスタンスでホストされているセルフマネージド MySQL データベースを使用しています。ECS インスタンスでホストされている他のタイプのデータベースの場合は、関連する承認コマンドを実行します。

GRANT SELECT ON *.* TO 'Username'@'CIDR block' IDENTIFIED BY 'Password';

コマンドの説明：

Username：セルフマネージドデータベースのユーザー名。
CIDR ブロック：CIDR ブロックはリージョンによって異なります。たとえば、中国 (青島) リージョンの CIDR ブロックは 100.104.69.0/26,100.104.48.128/26 です。 CIDR ブロックの詳細については、「CIDR ブロック」をご参照ください。
Password：セルフマネージドデータベースのパスワード。

説明

データベースのデータ匿名化を設定する場合は、上記のコマンドの SELECT の後に ,INSERT を追加する必要があります。

ステップ 2：DSC が ECS インスタンスにアクセスすることを承認する

DSC コンソールにログオンします。
左側のナビゲーションペインで、Asset Center をクリックします。
Authorization Management タブで、[アセット認証管理] をクリックします。
[アセット認証管理] パネルの左側のペインで、ECS self-built database をクリックします。

Add Asset をクリックします。[アセットの追加] ダイアログボックスで、パラメーターを設定し、[OK] または [追加と権限の設定] をクリックします。

パラメーター	説明
データベースエンジンの種類	ドロップダウンリストからデータベースエンジンとバージョンを選択します。
サーバーの種類	デフォルト値は ECS インスタンスで、変更できません。
リージョン	データベースがデプロイされているリージョンを選択します。リージョンは、ステップ 1：DSC がセルフマネージドデータベースにアクセスすることを承認するの IP アドレスのリージョンと同じである必要があります。
インスタンス ID	ドロップダウンリストから、データベースがデプロイされている ECS インスタンスを選択します。
ポート	データベースへの接続に使用するポートを入力します。
権限設定項目	少なくとも 1 つの権限設定項目を選択する必要があります。データ識別：DSC を使用してデータベース内の機密データを検出し、機密データの分類または匿名化を実行する場合に、この項目を選択します。監査：DSC を使用してデータベースアクティビティを監査する場合に、この項目を選択します。監査設定の詳細については、「監査モードの設定」をご参照ください。

[権限の設定] ダイアログボックスで、[アカウントの追加] をクリックし、データベース名を入力し、データベースユーザーの権限を選択し、データベースのユーザー名とパスワードを入力して、[OK] をクリックします。
[認証管理] ページに戻り、セルフマネージドデータベースの接続ステータスを表示します。

次のステップ

DSC をデータベースに接続すると、DSC はデフォルトのデータ識別タスクを自動的に作成します。

[認証管理] タブで [接続] をクリックし、[データベースアセットをすぐにスキャンしてデータを識別します。] を選択すると、システムはデフォルトのデータ識別タスクをすぐに実行します。
[認証管理] タブで [接続] をクリックし、[データベースアセットをすぐにスキャンしてデータを識別します。] を選択しない場合は、デフォルトのデータ識別タスクを手動で実行する必要があります。タスクを実行するには、[データインサイト] > [タスク] を選択します。 [識別タスク] タブで、[デフォルトタスク] をクリックし、タスクを見つけて、[再スキャン] をクリックします。
説明
再スキャン操作は DSC Enterprise のみでサポートされています。 DSC Basic は再スキャン操作をサポートしていません。
デフォルトのデータ識別タスクのカスタム再スキャン時間とカスタムスキャンサイクルを設定できます。詳細については、「デフォルトの識別タスクのスキャン設定を変更する」をご参照ください。

システムは、メインの識別テンプレートと共通の識別テンプレートを自動的に使用して、接続されたアセットをスキャンします。デフォルトでは、メインテンプレートはインターネット業界分類テンプレートです。デフォルトのデータ識別タスクのステータスを確認して、タスクの完了時刻を確認できます。

デフォルトのデータ識別タスクの完了時刻を表示します。詳細については、「デフォルトの識別タスクを表示する」をご参照ください。
データ識別結果を表示します。詳細については、「機密データ識別結果を表示する」をご参照ください。

CIDR ブロック

リージョン	CIDR ブロック
中国 (青島)	100.104.69.0/26 100.104.48.128/26
中国 (北京)	100.104.250.0/26 100.104.51.192/26
中国 (張家口)	100.104.37.128/26 100.104.191.64/26
中国 (フフホト)	100.104.234.192/26 100.104.26.128/26
中国 (杭州)	100.104.207.192/26 100.104.232.64/26
中国 (上海)	100.104.238.64/26 100.104.198.192/26
中国 (深圳)	100.104.247.0/26 100.104.150.64/26
中国 (香港)	100.104.153.64/26 100.104.65.192/26
Alibaba Gov Cloud	100.104.88.64/26 100.104.1.0/26
China East 2 Finance	100.104.254.0/26 100.104.40.128/26
China East 1 Finance	100.104.207.192/26 100.104.232.64/26
中国 (成都)	100.104.152.128/26 100.104.199.192/26

Data Security Center:DSC が ECS インスタンスでホストされているセルフマネージドデータベースにアクセスすることを承認する