背景信息
资产保护授权功能允许DSC访问具体的云产品中存有数据的部分空间或项目。如果不授权,DSC将无法对云产品中的敏感数据进行识别和脱敏。
OSS文件桶访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在OSS页签下,单击未授权。
选中需要授权的OSS文件桶(Bucket)并单击批量操作。
您也可以单击某个OSS文件桶(Bucket)开启防护列下的授权,为该Bucket开启授权。
在对于选中资产批量处理对话框,设置识别权限、审计权限、脱敏权限等参数。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确认。
完成资产授权后,DSC将会对开启授权的OSS存储空间中的文件执行敏感数据检测。如果该存储空间是首次开启授权,DSC将会自动触发全量扫描并收取全量数据扫描的费用。更多信息,请参见数据源授权完成后需要多长时间完成扫描。
已授权资产中的数据可进行编辑或取消授权。取消授权后,DSC不会检测该文件桶中的数据。
说明 DSC仅对已授权的Bucket进行数据扫描和风险分析。
RDS库访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击RDS页签。
在RDS页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别权限、审计权限、脱敏权限等参数。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产中进行数据审计的权限。
审计日志数据包括审计规则命中结果、审计规则检测的资产类型、命中规则的操作类型和操作账号等信息,覆盖资产数据产生、更新和使用等全链路的日志数据。
说明 开通RDS审计日志会自动开启RDS SQL洞察功能,开启该功能将额外产生SQL洞察费用。非试用版按小时扣费,USD 0.0018/GB/小时。该费用将体现在您的RDS账单中,查看该费用的具体方法,请参见查询账单。SQL洞察更多信息,请参见SQL洞察。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该RDS数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
PolarDB-X访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击PolarDB-X页签。
在PolarDB-X页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该PolarDB-X数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
PolarDB访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击PolarDB页签。
在PolarDB页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该PolarDB数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
OTS访问授权
OTS即表格存储服务。
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击OTS页签。
在OTS页签下,单击未授权。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
ECS自建数据库访问授权
DSC支持检测的ECS自建数据库有以下限制:
仅VPC网络中的ECS自建数据库支持使用DSC服务。
目前仅支持MySQL、SQL Server、PostgreSQL和Oracle类型的ECS自建数据库。
ECS自建数据库资产在数据安全中心进行授权之前,需要在自建数据库内,授予待授权用户指定IP段的远程访问权限。
登录数据库,授予待授权用户指定IP段的远程访问权限。
以下以MySQL类型的ECS自建数据库命令为例,进行操作说明。其他类型ECS自建数据库,请执行对应的授权命令。
GRANT ALL PRIVILEGES ON *.* TO '用户'@'IP段' IDENTIFIED BY '密码'
说明 如果需要为多个IP段授权,您需要分别为每一个IP段执行上述授权命令。
命令中参数说明如下所示:
表 1. IP段说明地域 | IP段 |
华东 2(上海) | 100.104.238.64/26 100.104.198.192/26
|
华北 2(北京) | 100.104.250.0/26 100.104.51.192/26
|
华东 1(杭州) | 100.104.207.192/26 100.104.232.64/26
|
华南 1(深圳) | 100.104.247.0/26 100.104.150.64/26
|
华北 3(张家口) | 100.104.37.128/26 100.104.191.64/26
|
华北 5(呼和浩特) | 100.104.234.192/26 100.104.26.128/26
|
中国香港 | 100.104.153.64/26 100.104.65.192/26
|
亚太东南 1(新加坡) | 100.104.158.192/26 100.104.218.128/26
|
马来西亚(吉隆坡) | 100.104.240.128/26 100.104.127.0/26
|
印度尼西亚(雅加达) | 100.104.127.0/26 100.104.182.128/26
|
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击ECS自建数据库页签。
在ECS自建数据库页签,单击添加数据资产。
在资产授权对话框,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数 | 说明 |
区域 | 选择您需要授权DSC访问的ECS自建数据库的所在地域。 |
ECS实例ID | 选择您需要授权DSC访问的ECS自建数据库所在的ECS实例ID。 |
数据库类型 | 选择您需要授权DSC访问的ECS自建数据库的类型。 目前DSC仅支持MySQL和SQL Server两种类型的ECS自建数据库。 |
库名称 | 输入您需要授权DSC访问的ECS自建数据库名称。
说明 如果当前ECS实例下还有其他ECS自建数据库需要授权DSC访问,您可以单击添加数据库,填写其他ECS自建数据库的信息。 |
端口 | 填写访问ECS自建数据库使用的端口号。 |
用户名 | 输入可以访问ECS自建数据库合法用户的用户名和密码。 |
密码 |
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
MaxCompute项目访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击MaxCompute页签。
在MaxCompute页签下,单击添加数据资产。
在添加数据资产页面,设置授权参数(详见下表)。
参数 | 说明 |
区域 | 选择您需要授权DSC访问的MaxCompute项目的所在地域。 |
项目名称 | 输入MaxCompute项目名称。 |
在MaxCompute客户端执行以下命令,将DSC数据访问子账号yundun_sddp添加到该MaxCompute项目中。
add user aliyun$yundun_sddp;
grant admin to aliyun$yundun_sddp;
您可以根据以下说明判断接下来执行的步骤。
如果此步骤执行后无报错提示,请直接跳转至步骤8。
如果此步骤执行后提示添加失败,请执行步骤7。
可选:执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。
setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>;
//11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是DSC服务使用的经典网络IP段,必须配置;
//VPC网段ID需要替换为您的MaxCompute项目所在地域的VPC网段ID。地域和VPC网段ID的对应关系详见以下表格。
如果您已开启了MaxCompute IP白名单限制,为了避免资产授权失败,您需要执行本步骤将DSC服务IP地址添加到MaxCompute IP白名单中。您可以执行setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。
地域 | 地域ID | VPC网段ID |
华北 3(张家口) | cn-zhangjiakou | cn-zhangjiakou_399229 |
华北 2(北京) | cn-beijing | cn-beijing_691047 |
华南 1(深圳) | cn-shenzhen | cn-shenzhen_515895 |
华东 2(上海) | cn-shanghai | cn-shanghai_28803 |
华东 1(杭州) | cn-hangzhou | cn-hangzhou_551733 |
说明 设置IP白名单后,您需要等待5分钟再进行授权。
单击确认。
说明 若授权未通过,请检查授权参数是否有误或DSC访问子账号是否添加成功。
授权完成后,DSC会对该项目列表中的所有数据进行检测。
资产完成授权后可取消授权。取消授权后,DSC不会检测该资产中的数据。
ADB-PG库访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击ADB-PG页签。
在ADB-PG页签下,单击添加数据资产。
在添加数据资产对话框中,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数 | 说明 |
所在区域 | 选择您需要授权DSC访问的ADB-PG库的所在地域。 |
实例名称 | 选择您需要授权DSC访问的ADB-PG库所在的ECS实例名称。 |
数据库名称 | 输入您需要授权DSC访问的ADB-PG库名称。 |
用户名 | 输入可以访问ADB-PG库合法用户的用户名和密码。 |
密码 |
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
ADB-MYSQL访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击ADB-MYSQL页签。
在ADB-MYSQL页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该ADB-MYSQL数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
MongoDB访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击MongoDB页签。
在MongoDB页签下,单击添加数据资产。
在添加数据资产对话框中,配置相应参数并单击下一步。
您可以参考以下表格中的参数说明配置相应参数。
参数 | 说明 |
所在区域 | 选择您需要授权DSC访问的MongoDB的所在地域。 |
实例名称 | 选择您需要授权DSC访问的MongoDB所在的ECS实例名称。 |
数据库名称 | 输入您需要授权DSC访问的MongoDB名称。 |
用户名 | 输入可以访问MongoDB合法用户的用户名和密码。 |
密码 |
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
OceanBase访问授权
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击OceanBase页签。
在OceanBase页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该OceanBase数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
Redis访问授权
Redis
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面,单击Redis页签。
在Redis页签下,单击未授权。
- 定位到需要授权的实例,在用户名和密码文本框输入连接数据库的用户名和密码。
您可以使用DSC提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息,请参见批量密码导入。
重要 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
选中需要授权的资产并单击批量操作。
在授权页面,设置识别、审计、脱敏等权限。
设置说明如下:
识别权限:开启或关闭DSC识别选中资产敏感数据的权限。
审计权限:开启或关闭DSC对选中资产进行数据审计的权限。
脱敏权限:开启或关闭DSC对选中资产进行敏感数据脱敏的权限。
敏感数据采样:设置DSC对选中资产进行敏感数据采样的条数。敏感数据采样是指DSC自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
审计日志存档:设置选中资产的审计日志保存时间。可选取值:
说明 设置审计日志存档时间无需您额外开通日志服务。
单击确定。
说明 若授权未通过,请检查输入的用户名和密码是否正确。
授权完成后,DSC会检测该资产中的数据。
已授权的资产可编辑或取消授权。仅支持编辑该Redis数据库合法用户的用户名和密码。取消授权后,DSC不会检测该数据库中的数据。
批量密码导入
DSC支持通过Excel模板批量导入RDS、PolarDB-X和PolarDB未授权数据库的用户名和密码,方便您批量授权DSC访问多个数据库项目。以下介绍批量导入数据库密码的详细步骤。
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在云上托管页面右上角单击批量密码导入。
在批量密码导入对话框中单击DSC授权文件模板.xlsx。
打开下载到本地的模板文件,编辑数据库产品中的用户名和密码列并保存模板文件。
如果您修改了模板文件中已有的用户名和密码,批量导入密码操作完成后,已有的用户名和密码将被更新为您修改后的用户名和密码。
在批量密码导入对话框中单击文件上传,完成修改后模板的上传。
单击确定。
EXCEL文件成功上传后,DSC会自动为您在RDS、PolarDB-X和PolarDB页签下的用户名和密码列导入该Excel文件中的数据库用户名和密码(如下图所示)。您无需手动填写数据库的用户名和密码,即可在云上托管页面执行批量授权操作,对多个数据库进行批量DSC访问授权。
排查资产授权失败原因
添加资产授权时可能会出现授权失败的情况。授权失败时请排查是否存在以下问题:
RDS连接授权失败的可能原因
MaxCompute连接授权失败的可能原因
MaxCompute项目名称输入错误。
MaxCompute项目中添加DSC账号失败。