敏感数据保护服务SDDP在检测数据源(OSS、RDS、DRDS、PolarDB、表格存储OTS、ECS自建数据库、MaxCompute)中存储的敏感数据之前,需要首先获取允许访问这几类云产品中指定数据的授权。本文介绍数据资产授权的操作步骤。

前提条件

已购买SDDP服务并完成SDDP访问云服务的授权。更多信息请参见 购买敏感数据保护 授权SDDP访问云资源

背景信息

资产保护授权功能允许SDDP访问具体的云产品中存有数据的部分空间或项目。如果不授权,SDDP将无法对云产品中的敏感数据进行识别和脱敏。

注意 已开启授权的OSS Bucket会消耗您购买的OSS存储容量,已开启授权的数据库或项目会消耗您购买的数据库和项目数。只有在OSS存储容量、数据库和项目数量充足时,您才可以成功进行相应授权操作。您可以在 云上托管页面查看剩余的OSS存储容量、数据库和项目数。

OSS文件桶访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. OSS页签下单击未授权
  4. 选中需要授权的OSS文件桶(Bucket)并单击批量操作批量操作
    您也可以单击某个OSS文件桶(Bucket) 开启防护列下的 授权,为该Bucket开启授权。
  5. 对于选中资产批量处理对话框中,设置识别权限、审计权限、脱敏权限等参数。批量授权页面
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  6. 单击确认
    完成资产授权后,SDDP将会对开启授权的OSS存储空间中的文件执行敏感数据检测。如果该存储空间是首次开启授权,SDDP将会自动触发全量扫描并收取全量数据扫描的费用。相关内容请参见 数据源授权完成后需要多长时间完成扫描

    已授权资产中的数据可进行编辑或取消授权。取消授权后,SDDP不会检测该文件桶中的数据。

    说明 SDDP仅对已授权的Bucket进行数据扫描和风险分析。

RDS库访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击RDS页签。
  4. RDS页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。

    您可以使用SDDP提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息请参见批量密码导入

    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量操作
    您也可以单击某个实例操作列下的 授权为该实例授权。
  7. 在授权页面,设置识别权限、审计权限、脱敏权限等参数。
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产中进行数据审计的权限。

      SDDP支持审计日志功能,审计日志数据提供了包括审计规则命中结果、审计规则检测的资产类型、命中规则的操作类型和操作账号等信息,覆盖资产数据产生、更新和使用等全链路的日志数据。

      SDDP安全审计功能的使用,请参见审计规则

      说明 开通RDS审计日志会自动开启RDS SQL洞察功能,开启该功能将额外产生SQL洞察费用。 非试用版按小时扣费,0.008元/GB/小时。该费用将体现在您的RDS账单中,查看该费用的方法请参见 查看消费明细。SQL洞察相关内容请参见 SQL洞察
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该RDS数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

DRDS访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击DRDS页签。
  4. DRDS页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。

    您可以使用SDDP提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息请参见批量密码导入

    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量操作
    您也可以单击某个实例操作列下的 授权为该实例授权。
  7. 在授权页面,设置识别、审计、脱敏等权限。
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该DRDS数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

PolarDB访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击PolarDB页签。
  4. PolarDB页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。

    您可以使用SDDP提供的批量密码导入功能,批量导入数据库的用户名和密码。更多信息请参见批量密码导入

    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量操作
    您也可以单击某个实例操作列下的 授权为该实例授权。
  7. 在授权页面,设置识别、审计、脱敏等权限。
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该PolarDB数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

OTS访问授权

OTS即表格存储服务。

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击OTS页签。
  4. OTS页签下单击未授权
  5. 选中需要授权的资产并单击批量操作
    您也可以单击某个实例操作列下的 授权为该实例授权。
  6. 在授权页面,设置识别、审计、脱敏等权限。
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  7. 单击确定
    授权完成后,SDDP会检测该资产中的敏感数据。

ECS自建数据库访问授权

SDDP支持检测的ECS自建数据库有以下限制:
  • 仅VPC网络中的ECS自建数据库支持使用SDDP服务。
  • 目前仅支持MySQL和SQL Server两种类型的ECS自建数据库。
  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击ECS自建数据库页签。
  4. ECS自建数据库页签下单击添加数据资产
  5. 资产授权对话框中,配置相应参数并单击下一步
    您可以参考以下表格中的参数说明配置相应参数。
    参数 说明
    区域 选择您需要授权SDDP访问的ECS自建数据库的所在区域。
    ECS实例ID 选择您需要授权SDDP访问的ECS自建数据库所在的ECS实例ID。
    数据库类型 选择您需要授权SDDP访问的ECS自建数据库的类型。 目前SDDP仅支持MySQL和SQL Server两种类型的ECS自建数据库。
    库名称 输入您需要授权SDDP访问的ECS自建数据库名称。
    说明 如果当前ECS实例下还有其他ECS自建数据库需要授权SDDP访问,您可以单击 添加数据库,填写其他ECS自建数据库的信息。
    端口 填写访问ECS自建数据库使用的端口号。
    用户名 输入可以访问ECS自建数据库合法用户的用户名和密码。
    密码
  6. 在授权页面,设置识别、审计、脱敏等权限。
    设置说明如下:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。敏感数据采样是指SDDP自动识别到敏感数据后,保留的敏感数据样本。您可以通过保留的敏感数据样本,人工对敏感数据进行更深入的判断。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  7. 单击确定
    授权完成后,SDDP会检测该资产中的敏感数据。

MaxCompute项目访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面单击MaxCompute页签。
  4. MaxCompute页签下单击添加数据资产
  5. 添加数据资产页面,设置授权参数(详见下表)。
    参数 说明
    区域 选择您需要授权SDDP访问的MaxCompute项目的所在区域。
    项目名称 输入MaxCompute项目名称。
    说明 项目名称不支持模糊查询,请输入准确的名称。
  6. 在MaxCompute客户端执行以下命令,将SDDP数据访问子账号yundun_sddp添加到该MaxCompute项目中。 
    add user aliyun$yundun_sddp;

grant admin to aliyun$yundun_sddp;

    您可以根据以下说明判断接下来执行的步骤。

    • 如果此步骤执行后无报错提示,请直接跳转至步骤8
    • 如果此步骤执行后提示添加失败,请执行步骤7
  7. 可选:执行以下命令将SDDP服务IP地址添加到MaxCompute IP白名单中。 
    
setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>;
//11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是SDDP服务使用的经典网络IP段,必须配置;
//VPC网段ID需要替换为您的MaxCompute项目所在区域的VPC网段ID。区域和VPC网段ID的对应关系详见以下表格。

    如果您已开启了MaxCompute IP白名单限制,为了避免资产授权失败,您需要执行本步骤将SDDP服务IP地址添加到MaxCompute IP白名单中。您可以执行setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。

    区域 区域ID VPC网段ID
    张家口 cn-zhangjiakou cn-zhangjiakou_399229
    背景 cn-beijing cn-beijing_691047
    深圳 cn-shenzhen cn-shenzhen_515895
    上海 cn-shanghai cn-shanghai_28803
    杭州 cn-hangzhou cn-hangzhou_551733
    说明 设置IP白名单后,您需要等待5分钟再进行授权。
  8. 单击确认
    说明 若授权未通过,请检查授权参数是否有误或SDDP访问子账号是否添加成功。
    授权完成后,SDDP会对该项目列表中的所有数据进行检测。

    资产完成授权后可取消授权。取消授权后,SDDP不会检测该资产中的数据。

批量密码导入

SDDP支持通过Excel模板批量导入RDS、DRDS和PolarDB未授权数据库的用户名和密码,方便您批量授权SDDP访问多个数据库项目。以下介绍批量导入数据库密码的详细步骤。

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据保护授权 > 数据资产授权
  3. 云上托管页面右上角单击批量密码导入
  4. 批量密码导入对话框中单击SDDP授权文件模板.xlsx
  5. 打开下载到本地的模板文件,编辑数据库产品中的用户名密码列并保存模板文件。
    如果您修改了模板文件中已有的用户名和密码,批量导入密码操作完成后,已有的用户名和密码将被更新为您修改后的用户名和密码。
  6. 批量密码导入对话框中单击文件上传,完成修改后模板的上传。
  7. 单击确定
    EXCEL文件成功上传后,SDDP会自动为您在 RDSDRDSPolarDB页签下的 用户名密码列导入该Excel文件中的数据库用户名和密码(如下图所示)。您无需手动填写数据库的用户名和密码,即可在 云上托管页面执行批量授权操作,对多个数据库进行批量SDDP访问授权。 批量导入密码后

排查资产授权失败原因

添加资产授权时可能会出现授权失败的情况。授权失败时请排查是否存在以下问题:
  • RDS连接授权失败的可能原因
    • RDS数据库账号或密码输入错误。
    • 您自行删除了RDS访问白名单中SDDP自动添加的服务器地址。
    • 部署在经典网络中的阿里云数据产品外网地址未放行流量的访问控制,导致网络不通。
  • MaxCompute连接授权失败的可能原因
    • MaxCompute项目名称输入错误。
    • MaxCompute项目中添加SDDP账号失败。