全部产品

数据管理 DMS：管理敏感数据

更新时间：Apr 29, 2024

本文介绍设置敏感列、脱敏规则，以及申请查看敏感数据的步骤。

前提条件

系统角色为管理员、DBA和安全管理员。
说明
鼠标移动到界面右上角的，查看您的角色。
支持的数据库
- 关系型数据库：
  - MySQL系列：RDS MySQL、PolarDB MySQL版、其他来源MySQL
  - SQL Server系列：RDS SQL Server、其他来源SQL Server
  - PostgreSQL系列：RDS PostgreSQL、PolarDB PostgreSQL版、其他来源PostgreSQL
  - MariaDB系列：RDS MariaDB、其他来源MariaDB
  - PolarDB PostgreSQL版（兼容Oracle）
  - PolarDB分布式版
  - OceanBase
  - Oracle
  - DB2
  - 达梦数据库
  - Lindorm：Lindorm_CQL、Lindorm_SQL
  - OpenGauss
- 数据仓库：
  - AnalyticDB MySQL版
  - AnalyticDB PostgreSQL版
  - DLA（Data Lake Analytics）
  - ClickHouse
  - MaxCompute
  - Hologres
  - Hive
实例已开通敏感数据保护功能。具体操作，请参见开通敏感数据保护。

注意事项

敏感数据保护功能仅对在DMS管理的数据库生效，对应用程序接口等其他端不生效。
使用敏感数据保护功能不影响源数据库的数据。例如，对在DMS管理的RDS MySQL数据库数据进行脱敏，脱敏效果仅在DMS可见，不影响您的源数据库数据。

设置敏感列

说明

该功能仅管理员使用。

登录数据管理DMS 5.0。
在页面左侧的数据库实例区域，搜索目标数据库。
右键单击目标数据库，选择表详情，进入表列表页面。
说明
您还可以通过SQL窗口进入目标表的详情页，选择SQL窗口 > SQL窗口，再选择目标数据库，单击确认，进入SQL Console页面，单击右上角的图标，即可进入。
单击目标表名左侧的图标，再单击调整，选择需要调整敏感级别的字段。
单击提交流程到安全部门。
页面会自动跳转至敏感等级工单详情页，单击同意，任务执行完成。
说明
提交的审批由角色为管理员、DBA或安全管理员的用户进行审批。
至此字段的敏感数据等级调整完成。
返回至SQL Console页面，双击目标表，查看表中调整敏感等级的字段是否已加密。默认的加密算法类型为全遮掩。
说明
所有用户（包含管理员与DBA）需额外申请敏感列的权限才可查看对应数据，具体操作请参见申请敏感列访问权限。

设置脱敏规则

登录数据管理DMS 5.0。
在顶部菜单栏中，选择安全与规范 > 敏感数据管理 > 敏感数据资产。
说明
若您使用的是极简模式的控制台，请单击控制台左上角的图标，选择全部功能 > 安全与规范 > 敏感数据管理 > 敏感数据资产。
进入敏感数据资产页面，单击右上角的全域敏感数据列表。
在字段管控页签下，选中需要调整脱敏规则的字段，单击调整脱敏算法。
选择已有的脱敏规则，或新增脱敏规则。
- 若选择已有的脱敏规则，单击保存。
- 若新增脱敏规则，则需要在脱敏规则页面，配置规则名称、脱敏算法等信息。详细信息，请参见新增脱敏算法。

申请敏感列访问权限

说明

所有用户（包含管理员与DBA）在未申请敏感列数据权限前，均无法查询数据，需额外申请敏感列的权限才可查看。本示例以普通用户申请敏感列访问权限为例介绍。

登录数据管理DMS 5.0。
在顶部菜单栏中，选择安全与规范 > 权限中心 > 权限工单。
说明
若您使用的是极简模式的控制台，请单击控制台左上角的图标，选择全部功能 > 安全与规范 > 权限中心 > 权限工单。
单击页面右上角的权限申请 > 敏感列-权限。
进入权限工单申请页面，在搜索框中输入目标数据库名称，单击搜索，选中目标敏感列。
单击添加，将其移动至确认已选择的库/表/列框中。

在选择权限区域，配置如下信息，并单击提交申请。

mingan

配置项	说明
权限类型	请按需申请查询、导出、变更权限，支持多选。
脱敏方式	请按需选择脱敏方式，当前支持的取值如下：半脱敏：数据将以对应的遮掩算法生成的形式展现。明文：数据将以明文形式展现。说明若您申请了半脱敏的导出权限，您导出的数据也为半脱敏格式。
期限	请按需选择您的申请期限。
申请原因	请输入申请原因及背景，以减少审批流程中的沟通成本。

说明

提交申请后，请等待审批通过，您可以在控制台首页我的工单区域，单击提交工单查看权限申请工单的审核进度。

审批通过后，您可在SQL Console页面中查询敏感列数据。