Data Security Center：資產中心（舊版）

步驟一：資產授權

1. 登入資料資訊安全中心控制台，在左側導覽列，選擇资产中心。

2. 在資產中心頁簽，單擊資產授權管理進入資產授權管理頁面。若未在DSC中進行過任何資產授權，系統將自動跳轉至該頁面。

3. 根據需要接入的資產類型，單擊左側資產列表中的對應項。

   通用資產

   DSC支援自動同步大多數資料資產類型，若未找到目標資產，請手動單擊“資產同步”，隨後重新整理頁面。

   說明

   • 自動同步：您已完成服務關聯角色授權，系統已建立服務關聯角色 AliyunServiceRoleForSDDP，並為其附加了授權策略 AliyunServiceRolePolicyForSDDP。DSC將在每日零點通過該角色自動調用 OpenAPI，掃描並同步同一帳號下的雲上資產。

   • 手動同步：可手動單擊“資產同步”按鈕，立即執行資產同步操作。

   未進行過資產授權（首次使用）

   勾選目標資產，單擊左下角確定。

   說明

   您可通過開啟目標資產數據識別與數據審計列中的開啟對應功能，也可在後續步驟中進行開啟。本文所述操作不在此處開啟功能開關，而是在下一步驟中完成。

   已進行過資產授權

   單擊目標資產操作列的授權。

   

   說明

   您可通過開啟目標資產數據識別與數據審計列中的開啟對應功能，也可在後續步驟中進行開啟。本文所述操作不在此處開啟功能開關，而是在下一步驟中完成。

   重要

   對於已授權的 SLS Project，DSC 無法統計當日的資料量，僅能統計截至前一日 24:00 的資料量。

   ECS自建資料庫

   DSC 支援接入 ECS 執行個體中自建的資料庫，支援的資料庫類型包括 MySQL、SQL Server 和 Oracle。

   1. 登入資料庫，執行以下命令以建立使用者並授予 DSC 訪問該資料庫的許可權。請將命令中“允許的網段”替換為執行個體所在地區對應的IP段。以下樣本適用於 MySQL 8.0；若使用其他資料庫類型，需相應調整文法。

      CREATE USER '<使用者名稱>'@'<允許的網段>' IDENTIFIED BY '<密碼>';
      GRANT SELECT ON <資料庫名>.* TO '<使用者名稱>'@'<允許的網段>';

   2. 前往DSC资产中心控制台，單擊新增資產並完成以下配置。

      配置項	說明
      數據庫類型	從支援的資料庫類型中進行選擇。
      服务器类型	僅支援ECS资产。
      地域與實例ID	選擇目標ECS執行個體的地區與執行個體ID。
      埠	填寫資料庫連接埠。
      选择权限配置项	识别：為執行個體開啟分类分级功能，選擇此項後，需要單擊新增并开始配置权限。 審計：為執行個體開啟數據審計功能。
      权限配置（選中识别時適用）	單擊添加数据库及账号，輸入資料庫名稱、串連資料庫的帳號名與密碼，並根據帳號在資料庫中實際具備的存取權限設定讀寫或只讀許可權。

   ADB-PG

   AnalyticDB PostgreSQL版不支援同步資產，需要手動單擊添加資產，並完成如下配置。

   配置項	說明
   所在區域	選擇執行個體所在的地區。
   執行個體名稱	通過執行個體名稱選擇該地區內的執行個體。
   資料庫名稱	配置需接入DSC的資料庫名稱。
   用户名	配置串連資料庫的帳號，並配置帳號許可權，請根據帳號在資料庫中實際具備的存取權限設定讀寫或只讀許可權。
   密码	配置串連資料庫的密碼。

資產支援開啟的功能

下表列出了支援接入DSC的資產類型及其對應支援開啟的功能。此外，部分地區的資產存在功能限制，完整的限制資訊，請參見支援的地區。

分类分级

DSC為金融、能源、汽車等行業提供敏感性資料識別模板，用於識別資產中的敏感資訊，並支援對其位置、類型和敏感層級進行分類分級管理。可以通過以下步驟開啟分類分級功能。

1. 在資產中心頁簽中，定位到目標執行個體。

2. 選擇串連方式：DSC需要串連至資料資產以執行資料檢測任務，DSC提供以下兩種串連方式，不同資產類型所支援的串連方式存在差異。

   • 一鍵連接：DSC會在目標資料庫資產中自動建立一個以 sddp_auto 開頭的唯讀帳號，並通過該帳號串連資料庫執行資料識別任務。對於 MaxCompute，DSC 會自動在當前 MaxCompute 專案中新增成員 yundun_sddp，並授予其 admin 角色許可權。

     說明

     如您後續不再使用 DSC，系統將在 DSC 執行個體到期 15 天后自動清理該唯讀帳號。

   • 關聯賬號：手動設定用於串連目標資料庫的帳號和密碼。

   一鍵連接

   1. 單擊目標資產執行個體操作列的一鍵連接。若資產執行個體包含多個資料庫或 LogStore，可以單擊執行個體左側的表徵圖，然後在相應資料庫或 LogStore 操作列中單擊一鍵連接，以串連指定的資料庫或 LogStore。

   2. 在彈出的對話方塊中配置如下專案。

      配置項	說明
      立即扫描数据资产并进行数据识别	選中此項後，DSC會立即建立預設掃描任務。 後續可以在分类分级 > 任務管理 > 識別任務頁簽中，單擊系統默認任務，查看或配置系統預設掃描任務。具體操作，請參見通過識別任務掃描敏感性資料。
      实例下新增数据库，自动连接（僅部分資料庫資產支援）	啟用此選項後，DSC在執行手動或自動資產同步時，若檢測到資料庫執行個體中存在新增資料庫，將自動建立串連。

   關聯賬號

   1. 單擊目標資產執行個體操作列的關聯賬號。

   2. 在關聯賬號面板，單擊目標資料庫操作列的添加凭据。

   3. 在添加凭据面板的关联凭据方式地區，選擇新建凭据並完成以下配置；若已存在可用憑據，可选择现有凭据。更多憑據操作，請參見管理賬密串連憑據。

      配置項	說明
      凭据名称	輸入便於識別的憑據名稱。
      用户名與密码	輸入串連資料庫的帳號名與密碼。
      凭据类型	此處選擇的憑據類型僅用於標識該憑據所擁有的許可權，其實際許可權以資料庫賬戶管理頁面中的配置為準。請根據憑據在資料庫中實際具備的存取權限設定該參數。
      立即扫描数据资产并进行数据识别	選中此項後，DSC會立即建立預設掃描任務。 後續可以在分类分级 > 任務管理 > 識別任務頁簽中，單擊系統默認任務，查看或配置系統預設掃描任務。具體操作，請參見通過識別任務掃描敏感性資料。

   說明

   資產串連完成後，DSC 將在資料庫資產執行個體中添加名為 ali_sddp_group 的白名單分組，用於授權 DSC 訪問該資產下的資料庫資訊。該白名單包含 DSC 服務端的 IP 位址，具體地址因地區而異。

查看DSC串連狀態：

開啟分類分級功能後，可以單擊開關按鈕右側的數字查看串連狀態。初始的串連狀態為連通性測試中，在此狀態下，DSC 每 30 秒執行一次連通性檢測：

• 對於資料庫資產，驗證配置的資料庫帳號和密碼是否可正常登入；

• 對於 OSS 資產，驗證指定的 Bucket 是否存在。

若檢測成功（即資料庫可正常登入或 OSS Bucket 存在），串連狀態更新為已連接；若單次檢測失敗，則記錄一次失敗。若連續 10 次檢測均失敗，串連狀態將更新為連接失敗。

後續操作：可前往分类分级 > 資產透視頁面，查看已識別的敏感資訊，或前往分类分级 > 識別配置頁面，配置敏感資訊識別模板。更多資訊，請參見敏感性資料分類分級。

數據審計

• 功能介紹：高效審計資料庫、OSS 等多種資料來源的日誌，通過內建900+高危操作規則，識別異常行為、資料泄露與SQL注入等風險。支援自訂規則、多維度日誌篩選及即時警示功能。

• 如何開啟：前往數據審計 > 云原生数据审计頁面，在右側开通情况地區，定位到目標資產，單擊审计操作列的立即开启；也可以在資產授權時開啟資產數據審計列的開關進行開啟，具體資訊，請參見雲原生資料審計。

图片脱敏

• 功能介紹：建立圖片脫敏任務，掃描目標Bucket中包含敏感資訊（例如社會安全號碼、車牌號和人臉）的圖片，通過灰色矩形條遮蓋的脫敏方式對圖片中敏感資訊進行脫敏。

• 如何開啟：前往風險治理 > 图片脱敏頁面，定位到目標Bucket，單擊其操作列的脱敏。具體資訊，請參見OSS圖片脫敏。

列加密

• 功能介紹：對資料庫中的特定列進行加密，防止非授權人員通過雲平台軟體或資料庫連接工具直接擷取敏感性資料明文，從而有效抵禦內外部安全威脅。

• 如何開啟：在資產中心完成資產授權後，前往風險治理 > 列加密頁面，定位到目標資產，單擊其操作列的一键加密。具體資訊，請參見列加密。

  重要

  執行列加密配置前，須啟用資料分類分級功能，並完成資料掃描與識別。

配置风险

• 功能介紹：動態檢測資料資產配置，識別阿里雲上資料庫、儲存及巨量資料資產在許可權管理、存取控制、加密傳輸和容災備份等方面的配置風險，並持續監控其配置安全性。

• 如何開啟：在資產中心完成資產授權後，前往風險治理 > 配置风险頁面進行後續操作。具體資訊，請參見安全基準檢查。

检测响应

• 功能介紹：專註於資料泄露風險防控，可自動識別OSS檔案中是否包含使用者的AK、資料庫連接資訊等敏感內容。該服務還能檢測已泄露或異常AK對檔案的訪問行為，以及使用泄露資料庫帳號進行的異常登入活動。

• 如何開啟：前往数据检测响应 > 数据泄露頁面進行後續操作。具體資訊，請參見資料檢測響應。

查看並管理授權數

完成資料庫資產執行個體的授權操作後，將消耗一個資料庫執行個體授權數。完成 OSS 或 SLS 資產的授權操作後，DSC 將根據其儲存容量計算並扣除相應的配額。
可在资产中心頁面右上方查看已使用的資料庫執行個體授權數及儲存容量。

當可用授權數不足時，可通過以下兩種方式解決：

• 購買額外授權額度：進入工作台頁面，單擊升級。在變更配置頁面選擇需擴充的授權數，並完成支付。

• 釋放授權額度（取消授權）：在资产中心頁面，定位到目標執行個體，單擊其操作列的取消授權。取消授權後，該資產將不再受 DSC 保護。

關閉分類分級功能（取消串連）

如需關閉分類分級功能，可通過取消資產串連實現。操作後，該資產對應的系統預設識別任務將被刪除，但已佔用的授權數不會釋放。

操作步驟：在资产中心頁面，定位至目標執行個體，單擊其操作列的取消連接。

管理賬密串連憑據

憑據指在選擇賬密串連方式為資產開啟分類分級功能時，所輸入的資料庫帳號與密碼。使用憑據時，建議遵循以下要求：

• 憑據隔離：為 DSC 串連資料庫建立獨立的憑據，不得與業務系統使用的資料庫憑據共用。 

• 許可權最小化：應使用唯讀帳號作為 DSC 憑據，禁止使用最高許可權帳號。

• 密碼安全管理：添加憑據後，密碼將不可見。DSC 會對憑據密碼進行加密儲存，且不提供密碼找回功能，請務必妥善保管。DSC 僅在訪問資料庫時使用該密碼，不會用於其他用途。

添加憑據

可以在通過賬密串連方式串連資料庫時建立憑據，也可以在憑據管理頁簽中添加憑據。

1. 在左側導覽列，選擇工作台。

2. 單擊憑據管理頁簽，然後單擊添加凭据。

3. 在添加凭据對話方塊，完成以下配置。

   配置項	說明
   凭据名称	輸入便於識別的憑據名稱。
   資產類型	選擇憑據的資產類型。
   用户名與密码	輸入串連資料庫的帳號名與密碼。
   凭据类型	此處選擇的憑據類型僅用於標識該憑據所擁有的許可權，其實際許可權以資料庫賬戶管理頁面中的配置為準。請根據憑據在資料庫中實際具備的存取權限設定該參數。

4. 關聯資產。

   1. 單擊目標憑據操作列的关联资产，並在关联资产面板新增並選擇需關聯的資料庫，單擊关联。

   2. 在是否扫描新增数据资产中的敏感数据？對話方塊，選擇確定或取消。

      • 確定：立即執行系統預設識別任務。

      • 取消：僅建立系統預設識別任務，需要在分类分级 > 任務管理 > 識別任務頁簽中，單擊系統默認任務，手動開啟系統預設識別任務。

修改憑據

在憑據管理頁簽下單擊目標憑據操作列的編輯，修改憑據的名稱、使用者名稱、密碼或憑據類型。

修改憑據後，DSC會立即使用修改後的憑據串連資料庫。

刪除憑據

刪除憑據前，需要先取消憑據和資料庫的關聯關係。

1. 在憑據管理頁簽下，單擊目標憑據操作列的关联资产。

2. 單擊已关联，選中所有已關聯的資料庫，並單擊取消关联。

3. 返回憑據管理頁簽，單擊目標憑據操作列的刪除，刪除該憑據。

DSC訪問資料庫使用的IP段