您可以在DMS中将敏感、机密字段(如手机号码)设置成敏感列,未开通敏感列数据权限的用户只能查询到***
信息。且DMS提供的遮掩算法可以让您灵活配置脱敏方式。
前提条件
已创建
poc_prod
数据库,详情请参见
结构设计。
设置敏感列与遮掩算法
- 以管理员账号登录DMS控制台。
- 在DMS左侧的实例列表中展开
poc_prod
实例,右键单击poc_prod
数据库,在弹窗中选择表详情。
- 单击data_modify表左侧的
图标。系统将展开data_modify表的字段。
- 在字段列头,单击调整。
- 选中
phone
字段右侧的敏感,并单击提交流程到安全部门。
该操作将phone
字段调整为敏感字段。
- 单击确认,等待审批完成。
系统将跳转至工单详情页,您可单击查看审批详情查询审批进度。
- 待审批完成后,在SQL Console中查询敏感列数据。
此时
phone
字段为全遮掩状态。

说明 所有用户(包含管理员与DBA)需额外申请敏感列的权限才可查看对应数据,具体操作请参见
申请敏感列访问权限。
- 在页面顶部,选择。
- 在目标敏感数据右侧,单击添加算法。

说明 您也可以通过上方的搜索功能,查找目标敏感数据。
- 在添加算法弹窗中,配置如下参数,并单击添加。
说明 本示例以
固定位置为例进行介绍,敏感列数据管理算法的更多说明,请参见
敏感列数据管理。

配置项 |
说明 |
算法类型 |
选择算法类型,当前支持的取值如下:
- 固定位置:遮掩指定位置的字符。
- 固定字符:遮掩指定字符。
- 全遮掩:遮掩所有字符。
|
遮掩字符 |
输入用于展示的字符。默认为*** 。
|
遮掩位置 |
定义数据的哪些位置需要进行脱敏,本例中设置为(1,5) ,表示遮掩第1位到第5位,也可以用(5) 表示。
说明 支持指定多个范围,但最多不超过3个位置,如(1,4),(6,7),(-2) ,表示遮掩前4位、第6位到第7位、最后2位。
|
算法描述 |
输入该算法的描述。 |
申请敏感列访问权限
所有用户(包含管理员与DBA)在未申请敏感列数据的权限前,均无法查询数据,需额外申请敏感列的权限才可查看。本示例以普通用户申请敏感列访问权限为例进行介绍。
- 以普通用户账号登录DMS控制台。
- 在页面顶部,选择。
- 在权限申请工单页面,输入
poc_prod
数据库,单击搜索。
- 选中目标敏感列,单击添加,将其移动至确认已选择的库/表/列框中。
- 在选择权限区域,配置以下信息,并单击提交申请。

配置项 |
说明 |
权限类型 |
请按需申请查询、导出、变更权限。
|
脱敏方式 |
请按需选择脱敏方式,当前支持的取值如下:
- 半脱敏:数据将以对应的遮掩算法生成的形式展现。
- 明文:数据将以明文形式展现。
说明 若您申请了半脱敏的导出权限,您导出的数据也为半脱敏格式。
|
期限 |
请按需选择您的申请期限。 |
申请原因 |
请输入申请原因及背景,以减少审批流程中的沟通成本。 |
说明 提交申请后,请等待审批通过,您可以在工作台的首页,查看权限申请工单的审核进度。
- 待审批完成后,在SQL Console中查询敏感列数据。
由于本示例申请的权限为半脱敏权限,因此
phone
字段按根据遮掩算法的格式显示。
