本文由簡體中文內容自動轉碼而成。阿里雲不保證此自動轉碼的準確性、完整性及時效性。本文内容請以簡體中文版本為準。
首頁
搜尋幫助內容

通用資料庫授權

更新時間:2024-12-26 19:42
產品
社區

購買資料資訊安全中心DSC(Data Security Center)執行個體後,在使用DSC檢測雲產品(包括RDS、PolarDB等)中存在的敏感性資料或審計資料庫活動前,您需要先完成資產執行個體授權。

本文適用的資料庫範圍

DSC僅支援為阿里雲上的資料庫資產提供資料安全服務,支援的資料庫類型詳情,請參見支援的資料資產類型

本文以RDS資料庫為例介紹授權和接入的完整流程,可參考本文接入DSC的資料庫類型包括:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG。其他類型資料庫的授權操作可參考下述文檔:

前提條件

步驟一:資產執行個體授權

  1. 登入資料資訊安全中心控制台

  2. 在左側導覽列,選擇资产中心

  3. 資產中心頁簽,單擊資產授權管理

  4. 資產授權管理面板左側產品名稱導覽列,單擊RDS

  5. (可選)在資產授權管理面板,單擊資產同步

    購買DSC執行個體後,首次登入控制台會立即執行雲上資產列表同步任務,此時無需執行資產同步操作。後續新增的資料資產DSC會每天淩晨進行掃描並自動同步到對應資產的未授權列表中。如果您需要為當天建立的資產授權,則需要手動執行資產同步操作。

  6. 單擊目標資產操作列的授權

    需要大量授權時,選中目標資產,並單擊大量授權

步驟二:串連資料庫

資料庫連接方式說明

DSC通過收集和分析資料庫中儲存的資料、資料庫活動,提供資料的分類分級、資料審計、安全態勢監控、資料脫敏等能力。DSC需要串連您的資料庫,才能實現相應能力。DSC支援使用一鍵串連和賬密串連兩種方式串連資料庫。

連線類型

說明

支援的資料資產類型

連線類型

說明

支援的資料資產類型

一鍵串連

通過控制台按鈕一鍵串連資料庫。

在串連過程中,DSC會自動在目標資料資產中添加唯讀帳號,通過該帳號串連目標資料庫進行資料識別任務;由於該帳號僅具有隻讀許可權,一鍵授權的資料庫無法成為脫敏任務的目標資料庫。

RDS、PolarDB、PolarDB-X(原DRDS)、Redis、OSS、TableStore、MaxCompute

賬密串連

通過手工輸入資料庫的帳號、密碼串連資料庫。

  • 通過唯讀帳號進行資料庫連接後,該資料庫可正常進行敏感性資料識別、脫敏及審計任務,但無法作為脫敏任務的目標資料庫;

  • 通過支援讀寫的帳號進行資料庫連接後,該資料庫可作為脫敏任務的目標資料庫來儲存脫敏後的資料。

  • 結構化資料:

    RDS、PolarDB、PolarDB-X(原DRDS)、PolarDB-X 2.0、MongoDB、OceanBase、自建資料庫

  • 巨量資料:

    ADB-MySQL、AnalyticDB for PostgreSQL(即ADB-PG)

您可以根據上表中對應資料庫支援的串連方式和資料安全需求,選擇合適的串連方式。

  • 如果您的資料庫類型支援一鍵串連,且您沒有將當前資料庫作為脫敏任務目標資料庫的需求,建議您使用一鍵串連方式。

  • 如果需將資料庫作為脫敏任務的目標庫,您必須要選擇賬密串連方式,並使用具有讀寫權限的帳號串連資料庫。

下述內容以RDS執行個體為例,分別介紹一鍵串連和賬密串連的操作步驟。

一鍵串連

執行一鍵串連操作後,DSC會自動建立並立即執行系統預設識別任務。識別任務會讀取資料庫中的資料,消耗資料庫讀效能,建議您在業務低峰期執行一鍵串連操作。

  1. 返回授權管理頁簽,單擊目標資產執行個體操作列的一鍵串連

    • 首次串連資產執行個體中的資料庫時,DSC會在該資產中添加名稱為ali_sddp_group的白名單,以便DSC能擷取該資產下資料庫相關資訊。該白名單加白的是DSC服務端的IP地址。該IP地址因地區不同而不同。

      image

    • 執行一鍵串連操作後,DSC會自動在當前資產下建立一個對該資料庫具有隻讀許可權的帳號,該帳號首碼為sddp_auto。

  2. 單擊資料庫執行個體左側的展開表徵圖表徵圖,查看資料庫的串連狀態和功能狀態。

    image

賬密串連

選擇賬密串連方式時,建議您遵循許可權最小化原則使用獨立的資料庫帳號和密碼(即憑據),請勿使用業務帳號或最高許可權帳號。

  1. 返回授權管理頁簽,單擊目標資產執行個體操作列的關聯賬號

  2. 關聯賬號面板,單擊目標資料庫操作列的添加凭据

  3. 添加凭据對話方塊,選擇憑據,保持選中或取消選中立即扫描数据资产并进行数据识别,單擊確定

    • 關於憑據管理的更多資訊,請參見憑據管理

    • 如果您評估串連資料庫的時刻為資料庫業務低峰期,可以選中立即掃描敏感性資料;否則,請取消選中立即掃描敏感性資料。取消選中時,DSC會先建立一個系統預設識別任務,並在次日淩晨執行這個任務。

    首次通過賬密串連的方式串連該資產中的資料庫時,DSC會在該資產中添加名稱為ali_sddp_group的白名單,以便DSC能擷取該資產下資料庫相關資訊。該白名單加白的是DSC服務端的IP地址。該IP地址因地區不同而不同。

    image

  4. 單擊資料庫執行個體左側的展開表徵圖表徵圖,查看資料庫的串連狀態和功能狀態。

    image

後續步驟

一鍵串連資料庫成功後,DSC會自動建立系統預設任務。

  • 如果一鍵串連時選中了立即掃描資料庫資產並進行資料識別,會立即執行對應系統預設任務。

  • 如果一鍵串連時未選中立即掃描資料庫資產並進行資料識別,您可以前往資料洞察 > 任務管理頁面的識別任務頁簽,在系統預設任務列表中執行重掃操作,手動執行系統預設任務。

    說明

    僅企業版支援執行重掃操作,基礎版不支援。

系統預設任務會使用主用模板(預設為互連網行業分類分級模板)+通用模板(符合個人資訊安全規範)掃描已接入的資料資產。您可以通過查看識別任務的狀態,來確認系統識別任務的完成時間。

  1. 查看系統預設任務完成時間。具體操作,請參見查看系統預設任務

  2. 查看資料分類分級識別結果。具體操作,請參見查看敏感性資料識別結果

相關文檔

上一篇:無下一篇:Data Security Center
  • 本頁導讀 (1, M)
  • 本文適用的資料庫範圍
  • 前提條件
  • 步驟一:資產執行個體授權
  • 步驟二:串連資料庫
  • 資料庫連接方式說明
  • 一鍵串連
  • 賬密串連
  • 後續步驟
  • 相關文檔
文檔反饋