数据安全中心DSC(Data Security Center)在检测数据源(OSS、RDS、PolarDB-X、PolarDB、表格存储OTS、ECS自建数据库、MaxCompute、ADB-PG、ADB-MYSQL、MongoDB、OceanBase、Redis)中存储的敏感数据之前,需要首先获取允许访问这几类云产品中指定数据的授权。本文介绍数据资产授权的操作步骤。
前提条件
已购买DSC服务并完成DSC访问云服务的授权。更多信息,请参见授权DSC访问云资源。
背景信息
资产保护授权功能允许DSC访问具体的云产品中存有数据的部分空间或项目。如果不授权,DSC将无法对云产品中的敏感数据进行识别和脱敏。
OSS文件桶访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在OSS页签下,单击未授权。
选中需要授权的OSS文件桶(Bucket)并单击批量操作。
您也可以单击某个OSS文件桶(Bucket)开启防护列下的授权,为该Bucket开启授权。
在对于选中资产批量处理对话框,设置识别权限、审计权限、脱敏权限等参数。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确认。
完成资产授权后,DSC将会对开启授权的OSS存储空间中的文件执行敏感数据检测。如果该存储空间是首次开启授权,DSC将会自动触发全量扫描并收取全量数据扫描的费用。更多信息,请参见数据源授权完成后需要多长时间完成扫描。
已授权资产中的数据可进行编辑或取消授权。取消授权后,DSC不会检测该文件桶中的数据。
说明DSC仅对已授权的Bucket进行数据扫描和风险分析。
RDS库访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击RDS页签。
在RDS页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别权限、审计权限、脱敏权限等参数。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产中进行数据审计的权限。
审计日志数据包括审计规则命中结果、审计规则检测的资产类型、命中规则的操作类型和操作账号等信息,覆盖资产数据产生、更新和使用等全链路的日志数据。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该RDS数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
PolarDB-X访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击PolarDB-X页签。
在PolarDB-X页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该PolarDB-X数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
PolarDB访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击PolarDB页签。
在PolarDB页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该PolarDB数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
OTS访问授权
OTS即表格存储服务。
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击OTS页签。
在OTS页签下,单击未授权。
选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
授权完成后,DSC会检测该资产中的敏感数据。
ECS自建数据库访问授权
DSC支持检测的ECS自建数据库有以下限制:
仅VPC网络中的ECS自建数据库支持使用DSC服务。
目前仅支持MySQL、SQL Server、PostgreSQL和Oracle类型的ECS自建数据库。
ECS自建数据库资产在数据安全中心进行授权之前,需要在自建数据库内,授予待授权用户指定IP段的远程访问权限。
登录数据库,授予待授权用户指定IP段的远程访问权限。
以下以MySQL类型的ECS自建数据库命令为例,进行操作说明。其他类型ECS自建数据库,请执行对应的授权命令。
GRANT ALL PRIVILEGES ON *.* TO '用户'@'IP段' IDENTIFIED BY '密码'
说明如果需要为多个IP段授权,您需要分别为每一个IP段执行上述授权命令。
命令中参数说明如下所示:
用户:待授权的ECS自建数据库用户名。
IP段:待授权的ECS自建数据库IP段。
授权命令中IP段与地域、用户资产所使用的网络有关。用户需要根据资产所在地域和所选择的网络类型,授权对应的IP段。
IP段的具体说明,请参见IP段说明。授权命令中至少要设置地域对应的两个IP段,IP范围也可大于地域对应的两个IP段。
密码:待授权用户的密码。
表 1. IP段说明 地域
IP段
华东 2(上海)
100.104.238.64/26
100.104.198.192/26
华北 2(北京)
100.104.250.0/26
100.104.51.192/26
华东 1(杭州)
100.104.207.192/26
100.104.232.64/26
华南 1(深圳)
100.104.247.0/26
100.104.150.64/26
华北 3(张家口)
100.104.37.128/26
100.104.191.64/26
华北 5(呼和浩特)
100.104.234.192/26
100.104.26.128/26
中国香港
100.104.153.64/26
100.104.65.192/26
亚太东南 1(新加坡)
100.104.158.192/26
100.104.218.128/26
马来西亚(吉隆坡)
100.104.240.128/26
100.104.127.0/26
印度尼西亚(雅加达)
100.104.127.0/26
100.104.182.128/26
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击ECS自建数据库页签。
在ECS自建数据库页签,单击添加数据资产。
在资产授权对话框,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数
说明
区域
选择您需要授权DSC访问的ECS自建数据库的所在地域。
ECS实例ID
选择您需要授权DSC访问的ECS自建数据库所在的ECS实例ID。
数据库类型
选择您需要授权DSC访问的ECS自建数据库的类型。 目前DSC仅支持MySQL和SQL Server两种类型的ECS自建数据库。
库名称
输入您需要授权DSC访问的ECS自建数据库名称。
说明如果当前ECS实例下还有其他ECS自建数据库需要授权DSC访问,您可以单击添加数据库,填写其他ECS自建数据库的信息。
端口
填写访问ECS自建数据库使用的端口号。
用户名
输入可以访问ECS自建数据库合法用户的用户名和密码。
密码
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
授权完成后,DSC会检测该资产中的敏感数据。
MaxCompute项目访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击MaxCompute页签。
在MaxCompute页签下,单击添加数据资产。
在添加数据资产页面,设置授权参数(详见下表)。
参数
说明
区域
选择您需要授权DSC访问的MaxCompute项目的所在地域。
项目名称
输入MaxCompute项目名称。
说明项目名称不支持模糊查询,请输入准确的名称。
在MaxCompute客户端执行以下命令,将DSC数据访问子账号yundun_sddp添加到该MaxCompute项目中。
可选:执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。
setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>; //11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是DSC服务使用的经典网络IP段,必须配置; //VPC网段ID需要替换为您的MaxCompute项目所在地域的VPC网段ID。地域和VPC网段ID的对应关系详见以下表格。
如果您已开启了MaxCompute IP白名单限制,为了避免资产授权失败,您需要执行本步骤将DSC服务IP地址添加到MaxCompute IP白名单中。您可以执行
setproject;
命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=
等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。地域
地域ID
VPC网段ID
华北 3(张家口)
cn-zhangjiakou
cn-zhangjiakou_399229
华北 2(北京)
cn-beijing
cn-beijing_691047
华南 1(深圳)
cn-shenzhen
cn-shenzhen_515895
华东 2(上海)
cn-shanghai
cn-shanghai_28803
华东 1(杭州)
cn-hangzhou
cn-hangzhou_551733
说明设置IP白名单后,您需要等待5分钟再进行授权。
单击确认。
说明若授权未通过,请检查授权参数是否有误或DSC访问子账号是否添加成功。
授权完成后,DSC会对该项目列表中的所有数据进行检测。
资产完成授权后可取消授权。取消授权后,DSC不会检测该资产中的数据。
ADB-PG库访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击ADB-PG页签。
在ADB-PG页签下,单击添加数据资产。
在添加数据资产对话框中,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数
说明
所在区域
选择您需要授权DSC访问的ADB-PG库的所在地域。
实例名称
选择您需要授权DSC访问的ADB-PG库所在的ECS实例名称。
数据库名称
输入您需要授权DSC访问的ADB-PG库名称。
用户名
输入可以访问ADB-PG库合法用户的用户名和密码。
密码
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
授权完成后,DSC会检测该资产中的敏感数据。
ADB-MYSQL访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击ADB-MYSQL页签。
在ADB-MYSQL页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该ADB-MYSQL数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
MongoDB访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击MongoDB页签。
在MongoDB页签下,单击添加数据资产。
在添加数据资产对话框中,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数
说明
所在区域
选择您需要授权DSC访问的MongoDB的所在地域。
实例名称
选择您需要授权DSC访问的MongoDB所在的ECS实例名称。
数据库名称
输入您需要授权DSC访问的MongoDB名称。
用户名
输入可以访问MongoDB合法用户的用户名和密码。
密码
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
授权完成后,DSC会检测该资产中的敏感数据。
OceanBase访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击OceanBase页签。
在OceanBase页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该OceanBase数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
Redis访问授权
Redis
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面,单击Redis页签。
在Redis页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。 选中需要授权的资产并单击批量操作。
您也可以单击某个实例操作列下的授权为该实例授权。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
0条
5条
10条
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
30天
90天
180天
说明设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该Redis数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
批量密码导入
DSC支持通过Excel模板批量导入RDS、PolarDB-X和PolarDB未授权数据库的用户名和密码,方便您批量授权DSC访问多个数据库项目。以下介绍批量导入数据库密码的详细步骤。
- 登录数据安全中心控制台。
- 在左侧导航栏,选择数据保护授权 > 数据资产授权。
在云上托管页面右上角单击批量密码导入。
在批量密码导入对话框中单击DSC授权文件模板.xlsx。
打开下载到本地的模板文件,编辑数据库产品中的用户名和密码列并保存模板文件。
如果您修改了模板文件中已有的用户名和密码,批量导入密码操作完成后,已有的用户名和密码将被更新为您修改后的用户名和密码。
在批量密码导入对话框中单击文件上传,完成修改后模板的上传。
单击确定。
EXCEL文件成功上传后,DSC会自动为您在RDS、PolarDB-X和PolarDB页签下的用户名和密码列导入该Excel文件中的数据库用户名和密码(如下图所示)。您无需手动填写数据库的用户名和密码,即可在云上托管页面执行批量授权操作,对多个数据库进行批量DSC访问授权。
排查资产授权失败原因
添加资产授权时可能会出现授权失败的情况。授权失败时请排查是否存在以下问题:
RDS连接授权失败的可能原因
RDS数据库账号或密码输入错误。
您自行删除了RDS访问白名单中DSC自动添加的服务器地址。
部署在经典网络中的阿里云数据产品外网地址未放行流量的访问控制,导致网络不通。
MaxCompute连接授权失败的可能原因
MaxCompute项目名称输入错误。
MaxCompute项目中添加DSC账号失败。