通過資料域管理資產

應用情境

• 企業中有較多的資料資產，分別屬於不同的部門，需要按部門劃分資產，以便資料管理員高效管理。

• 需要將資料資產劃分給不同的資料管理員。資料管理員只能系統管理權限範圍內的資產，從而實現對資料資產管理許可權的控制。

前提條件

• 已完成資料資產執行個體授權。具體操作，請參見資產授權。

• 如果是RAM使用者，需要已具有AliyunYundunSDDPFullAccess許可權。授權的具體操作，請參見為RAM使用者授權DSC。

背景資訊

資料資訊安全中心DSC（Data Security Center）提供預設資料域，預設包含已授權的所有資料資產，阿里雲帳號和具有AliyunYundunSDDPFullAccess許可權的RAM使用者預設可以管理全部資料域及資產。如果需要劃分不同資產並指定對應資料管理員，您可以：

• 建立自訂的資料域，將資產歸類並添加至自訂資料域，然後按資料域查看資產的敏感性資料識別結果。具體操作，請參見查看敏感性資料識別結果。

• 指定RAM使用者只能管理指定的自訂資料域及其下資產，實現對不同類型資產的精細化管理。

使用限制

• 一個資料資產只能劃分至一個資料域。

• 未添加至任何自訂資料域的資產都屬於預設資料域。

添加自訂資料域分類管理資產

添加資料域前，建議您根據業務單元或組織架構等規劃需要添加的資料網域名稱稱和層級關係（最多支援建立三級資料域），然後執行以下步驟添加自訂資料域、設定層級關係以及分類資料資產。

您可以根據添加或調整的資料域、資產的規模大小，選擇以下方式管理資料域及其下資產。

完成添加自訂資料域及其下資產後，資料網域名稱稱右側的數字代表該資料域及其子資料域下的總資產數量。

授權RAM使用者僅管理指定的自訂資料域

以下是資料域相關權限原則的說明：

一個阿里雲帳號可以建立多個RAM使用者，您可以為指定的RAM使用者授予AliyunYundunSDDPDataManager許可權，並使用同步處理的使用者功能將RAM使用者同步到資料資訊安全中心控制台，作為自訂資料網域系統管理員。您可以配置指定的RAM使用者只能查看許可權範圍內的資料域下的資產，執行修改資料域、添加資產、移動資產等操作，且只能將資產移動到許可權範圍內的資料域下。

步驟一：同步RAM使用者資訊

1. 在資料管理頁面，單擊資料管理員頁簽。

2. 如果已有RAM使用者不符合業務需求或需要更多RAM使用者，可以單擊建立使用者，參考以下操作，建立RAM使用者。

   1. 在建立使用者面板，單擊RAM控制台。

   2. 在RAM控制台建立使用者頁面，填寫使用者資訊，然後單擊確定。有關建立使用者的具體操作，請參見建立RAM使用者。

   3. 返回資料資訊安全中心控制台，在建立使用者面板，單擊建立完成。

3. 為RAM使用者授予DSC資料域系統管理權限。

   1. 在RAM控制台使用者頁面，單擊目標RAM使用者操作列的添加許可權。

   2. 在添加許可權面板，為RAM使用者添加許可權。具體操作，請參見為RAM使用者授權。

      您需要將系統策略選擇為AliyunYundunSDDPDataManager。如果RAM使用者還未被授予AliyunYundunSDDPFullAccess許可權，您還需要選擇AliyunYundunSDDPFullAccess。

4. 返回資料資訊安全中心控制台的資產中心 > 資料管理頁面的資料管理員頁簽下，單擊同步處理的使用者。

   DSC會將當前阿里雲帳號下所有已授予AliyunYundunSDDPDataManager許可權的RAM使用者同步到資料管理員列表中。

步驟二：為RAM使用者佈建可管理的資料域

同步處理的使用者後，您需要為RAM使用者佈建可管理的自訂資料域範圍。

1. 在資料管理員頁簽，單擊目標RAM使用者操作列的編輯可管理資料域。

2. 在編輯可管理的資料域面板，選中需要管理的資料域，然後單擊確定。

相關文檔

• 有關RAM使用者及其授權的詳細內容，請參見建立RAM使用者並授權。

• 您可以通過資料域查看掃描識別的敏感性資料和敏感等級等。具體內容，請參見查看敏感性資料識別結果。

• 配置識別任務時，可以從資料域維度設定任務的範圍。具體內容，請參見自訂識別任務。