全部產品
Search

搜尋本產品

    Data Security Center:通用資料庫授權

    文件中心

    Data Security Center:通用資料庫授權

    更新時間:Nov 19, 2025

    購買資料資訊安全中心DSC(Data Security Center)執行個體後,在使用DSC檢測雲產品(包括RDS、PolarDB等)中存在的敏感性資料或審計資料庫活動前,您需要先完成資產執行個體授權。

    本文適用的資料庫範圍

    DSC僅支援為阿里雲上的資料庫資產提供資料安全服務,支援的資料庫類型詳情,請參見支援的資料資產類型

    本文以RDS資料庫為例介紹授權和接入的完整流程,可參考本文接入DSC的資料庫類型包括:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Tair (Redis OSS-compatible)、MongoDB、OceanBase、TableStore、AnalyticDB-MySQL、AnalyticDB-PG。其他類型資料庫的授權操作可參考下述文檔:

    前提條件

    步驟一:資產執行個體授權

    1. 登入資料資訊安全中心控制台

    2. 在左側導覽列,選擇资产中心

    3. 資產中心頁面,單擊資產授權管理

    4. 資產授權管理頁面左側產品名稱導覽列中,選擇需要授權的資料類型,並單擊資產同步

      說明

      購買DSC執行個體後,首次登入控制台將自動執行雲上資產列表同步任務,無需手動操作。DSC會每日零點自動掃描並同步資產列表。您也可以在左側導覽列選擇资产中心中,手動執行資產同步操作。

    5. 單擊目標資產操作列的授權

      需要大量授權時,選中目標資產,並單擊批量授權

      重要

      當您完成結構化資料資產授權後,DSC會調用Database Autonomy Service (DAS)的介面,並開啟DAS的審計服務。因此該資產已開通的DAS基礎版服務將自動升級為企業版(僅支援SQL審計功能),但並不會產生額外的費用。

    步驟二:串連資料庫

    資料庫連接方式說明

    DSC通過收集和分析資料庫中儲存的資料、資料庫活動,提供資料的分類分級、資料審計、安全態勢監控等能力。DSC需要串連您的資料庫,才能實現相應能力。DSC支援使用一鍵串連和賬密串連兩種方式串連資料庫。

    連線類型

    說明

    支援的資料資產類型

    一鍵串連

    通過控制台按鈕一鍵串連資料庫。

    在串連過程中,DSC會自動在目標資料資產中建立一個以sddp_auto開頭的唯讀帳號,通過該帳號串連目標資料庫進行資料識別任務。由於該帳號僅具有隻讀許可權,一鍵授權的資料庫無法成為脫敏任務的目標資料庫。

    • RDS:

      • MySQL

      • SQL Server(唯讀執行個體不支援)

      • MariaDB(唯讀執行個體不支援)

    • PolarDB:

      • MySQL

    • PolarDB-X 1.0(DRDS)

    • PolarDB-X 2.0(唯讀執行個體不支援)

    • OSS

    • TableStore

    • MacCompute

    • SLS

    賬密串連

    通過手工輸入資料庫的帳號、密碼串連資料庫。

    • 通過唯讀帳號進行資料庫連接後,該資料庫可正常進行敏感性資料識別、脫敏及審計任務,但無法作為脫敏任務的目標資料庫;

    • 通過支援讀寫的帳號進行資料庫連接後,該資料庫可作為脫敏任務的目標資料庫來儲存脫敏後的資料。

    • 結構化資料:

      RDS、PolarDB、PolarDB-X(原DRDS)、PolarDB-X 2.0、MongoDB、OceanBase、自建資料庫

    • 巨量資料:

      AnalyticDB-MySQL、AnalyticDB for PostgreSQL(即AnalyticDB-PG)

    您可以根據上表中對應資料庫支援的串連方式和資料安全需求,選擇合適的串連方式。

    • 如果您的資料庫類型支援一鍵串連,且您沒有將當前資料庫作為脫敏任務目標資料庫的需求,建議您使用一鍵串連方式。

    • 如果需將資料庫作為脫敏任務的目標庫,您必須要選擇賬密串連方式,並使用具有讀寫權限的帳號串連資料庫。

    下述內容以RDS執行個體為例,分別介紹一鍵串連和賬密串連的操作步驟。

    一鍵串連

    執行一鍵串連操作後,DSC會自動建立並立即執行系統預設識別任務。識別任務會讀取資料庫中的資料,消耗資料庫讀效能,建議您在業務低峰期執行一鍵串連操作。

    1. 資產中心頁簽中,單擊目標資產執行個體操作列的一鍵連接

      • 首次串連資產執行個體中的資料庫時,DSC會在該資產中添加名稱為ali_sddp_group的白名單,以便DSC能擷取該資產下資料庫相關資訊。該白名單加白的是DSC服務端的IP地址。該IP地址因地區不同而不同。

        image

      • 執行一鍵串連操作後,DSC會自動在當前資產下建立一個對該資料庫具有隻讀許可權的帳號,該帳號首碼為sddp_auto。

    2. 單擊資料庫執行個體左側的展開表徵圖表徵圖,查看資料庫的串連狀態和功能狀態。

      image

    賬密串連

    選擇賬密串連方式時,建議您遵循許可權最小化原則使用獨立的資料庫帳號和密碼(即憑據),請勿使用業務帳號或最高許可權帳號。

    1. 資產中心頁簽中,單擊目標資產執行個體操作列的關聯賬號

    2. 關聯賬號面板,單擊目標資料庫操作列的添加凭据

    3. 添加凭据對話方塊,選擇憑據,保持選中或取消選中立即扫描数据资产并进行数据识别,單擊確定

      • 關於憑據管理的更多資訊,請參見憑據管理

      • 如果您評估串連資料庫的時刻為資料庫業務低峰期,可以選中立即掃描敏感性資料;否則,請取消選中立即掃描敏感性資料。取消選中時,DSC會先建立一個系統預設識別任務,並在次日淩晨執行這個任務。

      首次通過賬密串連的方式串連該資產中的資料庫時,DSC會在該資產中添加名稱為ali_sddp_group的白名單,以便DSC能擷取該資產下資料庫相關資訊。該白名單加白的是DSC服務端的IP地址。該IP地址因地區不同而不同。

      image

    4. 單擊資料庫執行個體左側的展開表徵圖表徵圖,查看資料庫的串連狀態和功能狀態。

      image

    後續步驟

    一鍵串連資料庫成功後,DSC會自動建立系統預設任務。

    • 如果一鍵連接時選中了立即扫描数据资产并进行数据识别,會立即執行對應系統預設任務。

    • 如果一鍵連接時未選中立即扫描数据资产并进行数据识别,您可以前往分类分级 > 任務管理頁面的識別任務頁簽,在系統默認任務列表中執行重掃操作,手動執行系統預設任務。

      系統預設任務支援自訂重掃時間點與掃描周期,具體操作,請參見調整系統預設任務掃描設定

    系統預設任務會使用主用識別模板(預設為互連網行業分類分級模板+通用識別模板),掃描已接入的資料資產。您可以通過查看識別任務的狀態,來確認系統識別任務的完成時間。

    說明

    主用識別模板支援設定為內建識別模板自訂識別模板。具體操作,請參見設定主用識別模板

    如果主用識別模板內建識別模板,會同時使用通用識別模板(符合個人資訊安全規範)。如果主用識別模板自訂識別模板,則不會使用通用識別模板

    1. 查看系統預設任務完成時間。具體操作,請參見查看系統預設任務

    2. 查看資料分類分級識別結果。具體操作,請參見查看敏感性資料識別結果

    相關文檔

    常見問題

    資料資產授權的常見問題及解決方案,請參見資料授權