数据检测响应服务是数据安全中心 DSC(Data Security Center)的增值服务,需要开通购买足量的OSS防护量后,才能检测目标Bucket文件是否包含阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息,以及检测已泄露或异常AK访问已授权Bucket和文件的风险行为。本文介绍数据检测响应服务的计费规则和购买方法。
前提条件
如果使用RAM用户开通数据检测响应服务,需要授予RAM购买、续费、退订数据安全中心实例的系统权限策略AliyunBSSOrderAccess和AliyunBSSRefundAccess,以及用户管理或访问数据安全中心控制台的系统权限策略AliyunYundunSDDPFullAccess。具体操作,请参见为RAM用户授权。
背景信息
AK泄露检测和发现告警事件的工作原理,请参见什么是数据检测响应。
计费说明
数据检测响应服务采用包年包月模式计费,计费组成、计费项、计费规则以及提供的免费资源规格等详细说明,请参见计费概述。
购买并开通数据检测响应服务
您可以根据以下场景参考对应操作步骤,购买数据检测响应增值服务。
首次开通DSC并购买增值服务
访问数据安全中心购买页,并登录您的阿里云账号。
选择版本。
您可以选择企业版、仅采购增值服务。版本说明,请参见购买数据安全中心。
选择增值模块的检测响应为开启。
开启后每月将赠送您1 TB的OSS的防护量。
选择您需要购买的检测响应-OSS防护量,单位为TB。
不同规格的防护量定价各不相同,您可以根据所需的防护检测OSS数据容量,扣除每月免费赠送的1 TB后,购买适用的OSS防护量。OSS防护量的定价说明,请参见计费概述。
选择购买时长。
单击立即购买,根据页面提示完成支付。
完成购买后,如果是首次登录数据安全中心控制台,概览页面会提示您执行云资源授权的流程。完成授权后,DSC实例才能访问OSS云服务的资源,并对这些云资源进行敏感数据扫描和分析等操作。
具体内容,请参见授权DSC访问云资源。
购买DSC企业版后升级购买增值服务
登录数据安全中心控制台。
在左侧导航栏,选择。
单击立即升级。
在变配页面,开启增值模块的检测响应并选购检测响应-OSS防护量。
选择购买时长。
单击立即购买,根据页面提示完成支付。
后续操作
开通服务并完成授权后,您可参考以下使用流程,进行AK泄露检测和异常AK访问检测。
完成相关准备工作。
DSC提供OSS同步配置功能,可将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中。为了方便后续根据文件敏感等级标签管控对应文件的访问权限,推荐您启用OSS同步配置功能。具体操作,请参见同步敏感等级标签至OSS文件。
对于未处理的AK泄露事件,DSC提供告警通知能力,您可以根据需要,设置邮箱或短信通知方式接收AK泄露告警通知。具体操作,请参见设置异常AK访问告警通知。
授权待检测的OSS Bucket和录入待跟踪访问记录的AK信息。具体操作,请参见OSS授权和AK情报录入。
从开通数据检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见识别任务说明。
查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警。
根据已定位分析的AK泄露信息和异常访问行为,选择对应的措施处理AK泄露问题并治理Bucket和文件的访问策略。具体操作,请参见处理AK泄露和异常访问告警。