AI 助理
备案控制台
官方文档
输入文档关键字查找
首页瑶池数据库用户指南安全中心数据安全中心资产授权管理

资产授权管理

更新时间:2025-02-27 03:58:59
我的收藏

本文介绍在使用瑶池数据库数据安全中心过程中如何做资产授权操作、取消授权、授权管理等操作。

本文适用的数据库范围

本文以RDS数据库为例介绍授权的完整流程。该流程同样适用于以下数据库:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis、MongoDB、AnalyticDB for MySQL、AnalyticDB for PostgreSQL。

数据库授权

前提条件

  • 已开通瑶池数据库数据安全中心免费版实例或已购买数据安全中心付费版实例。

  • 已完成瑶池数据库数据安全中心访问云服务的授权。

    即已创建服务关联角色AliyunServiceRoleForSDDP。更多信息请参见操作步骤

步骤一:资产实例授权

  1. 登录瑶池数据库控制台数据安全中心

  2. 在左侧导航栏,选择资产中心

  3. 授权管理页签,单击资产授权管理

  4. 资产授权管理面板左侧产品名称导航栏,单击RDS

  5. (可选)在资产授权管理面板,单击资产同步

    购买瑶池数据库数据安全中心后,首次登录控制台会立即执行云上资产列表同步任务,此时无需执行资产同步操作。后续新增的数据资产,数据安全中心将每天凌晨扫描并自动同步到对应资产的未授权列表中。如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。

  6. 单击目标资产操作列的授权

    需要批量授权时,选中目标资产,并单击批量授权

步骤二:连接数据库

数据库连接方式

瑶池数据库数据安全中心通过收集和分析数据库中存储的数据、数据库活动,提供数据的分类分级、数据审计等功能。数据安全中心需要连接您的数据库,才能实现相应能力。瑶池数据库数据安全中心支持使用一键连接和账密连接两种方式连接数据库。

连接类型

说明

支持的数据资产类型

连接类型

说明

支持的数据资产类型

一键连接

通过控制台按钮一键连接数据库。

在连接过程中,数据安全中心会自动在目标数据资产中添加只读账号,通过该账号连接目标数据库开始数据识别任务。

RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis

账密连接

通过手工输入数据库的账号、密码连接数据库。

通过只读账号连接数据库后,该数据库可正常开始数据识别及审计任务。

  • 数据库:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、MongoDB、Redis

  • 数据仓库:AnalyticDB for MySQL、AnalyticDB for PostgreSQL

下述内容以RDS实例为例,分别介绍一键连接和账密连接的操作步骤。

一键连接

执行一键连接操作后,数据安全中心会自动创建并立即执行系统默认识别任务。识别任务会读取数据库中的数据,消耗数据库读性能,建议您在业务低峰期执行一键连接操作。

  1. 返回授权管理页签,单击目标资产实例操作列的一键连接

    • 首次连接资产实例中的数据库时,数据安全中心会在该资产中添加名称为ali_sddp_group的白名单,以便数据安全中心能获取该资产下数据库相关信息。该白名单添加的是瑶池数据库数据安全中心服务端的IP地址。该IP地址因地域不同而不同。

      image

    • 执行一键连接操作后,数据安全中心会自动在当前资产下创建一个对该数据库具有只读权限的账号,该账号前缀为sddp_auto。

  2. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    image

账密连接

选择账密连接方式时,建议您遵循权限最小化原则使用独立的数据库账号和密码(即凭据),请勿使用业务账号或最高权限账号。

  1. 返回授权管理页签,单击目标资产实例操作列的账密连接

  2. 账密连接面板,单击目标数据库操作列的添加凭据

  3. 添加凭据对话框,选择凭据,保持选中或取消选中立即扫描数据资产并进行数据识别,单击确定

    关于凭据管理的更多信息,请参见凭据管理

    首次通过账密连接的方式连接该资产中的数据库时,数据安全中心会在该资产中添加名称为ali_sddp_group的白名单,以便数据安全中心能获取该资产下数据库相关信息。该白名单添加的是瑶池数据库数据安全中心服务端的IP地址。该IP地址因地域不同而不同。

    image

  4. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    image

后续步骤

一键连接数据库成功后,数据安全中心会自动创建系统默认任务。

  • 如果一键连接时选中了立即扫描数据库资产并进行数据识别,会立即执行对应系统默认任务。

  • 如果一键连接时未选中立即扫描数据库资产并进行数据识别,您可以前往数据洞察 > 任务管理页面的识别任务页签,在系统默认任务列表中执行重扫操作,手动执行系统默认任务。

    系统默认任务支持自定义重扫时间点与扫描周期,具体操作,请参见调整系统默认任务扫描设置

系统默认任务会使用主用识别模板(默认为互联网行业分类分级模板+通用识别模板),扫描已接入的数据资产。您可以通过查看识别任务的状态,来确认系统识别任务的完成时间。

说明

主用识别模板支持设置为内置识别模板自定义识别模板。具体操作,请参见设置主用识别模板

如果主用识别模板内置识别模板,会同时使用通用识别模板(符合个人信息安全规范)。如果主用识别模板自定义识别模板,则不会使用通用识别模板

  1. 查看系统默认任务完成时间。具体操作,请参见查看系统默认任务

  2. 查看数据分类分级识别结果。具体操作,请参见查看敏感数据识别结果

取消授权

取消资产授权

如果您的资产实例被释放,或者由于其他原因无需使用瑶池数据库数据安全中心提供的数据安全能力,您可以通过取消该资产的授权,释放出对应的授权数。

  1. 登录瑶池数据库控制台数据安全中心

  2. 在左侧导航栏,选择资产中心

  3. 授权管理页签,单击资产授权管理

  4. 资产授权管理面板左侧导航栏单击目标资产类型,单击资产同步右侧的已授权

  5. 单击目标资产操作列的取消授权

  6. 系统提示对话框,单击确定

取消授权后,数据安全中心会同步关闭对该资产的识别、分类分级及安全审计等能力,该资产使用的授权数会被释放,该资产会从授权管理页签移除,并且为该资产创建的系统默认识别任务会被自动删除。

取消数据库连接

如果资产内已连接的部分数据库无需使用数据安全中心提供的数据安全服务,您可以取消该数据库的连接。取消连接后,该数据库对应的系统默认识别任务会被删除。取消连接后,并不会释放该资产使用的授权数

  1. 登录瑶池数据库控制台数据安全中心

  2. 在左侧导航栏,选择资产中心

  3. 授权管理页签左侧导航栏,单击目标资产类型。

  4. 单击目标资产实例ID/名称前的image图标,展开该资产下的数据库列表。

    如果目标资产无image图标,您可以跳过该步骤。

  5. 单击目标数据库操作列的取消连接

  6. 提示对话框,单击确定

    取消连接后,该数据库的连接状态将变为未连接

授权数管理

消耗授权额度

数据库实例数

一个资产实例在完成授权操作,即从未授权列表移动到已授权列表中时,会消耗一个数据库实例授权数。无论该资产实例下连接一个或多个数据库,仅消耗一个授权数。

执行授权操作后,您可以在资产授权管理面板,查看数据库实例授权数的变化。

说明

Redis实例授权不消耗授权额度。

image

释放授权额度

资产实例取消授权,即资产实例从已授权列表移动到未授权列表后,会释放对应的授权数。

即使您的资产已被释放,如果没有取消授权,还会占用对应的授权数。

扩充授权数

授权数不足时,新增的资产将无法接入瑶池控制台并使用数据安全中心相应功能,您可以购买数据库防护实例数以扩充授权数。

  1. 登录瑶池数据库控制台数据安全中心

  2. 总览页面,单击升级

  3. 在变配页面,选择需要扩充的授权数。

    需扩充数据库防护实例数时,将数据库实例数设置为升级后需要保有的总数量。例如升级前拥有5个数据库实例数,需要增加3个,则需将数据库实例数设置为8。

  4. 单击立即购买并完成支付。

  • 本页导读
  • 本文适用的数据库范围
  • 数据库授权
  • 前提条件
  • 步骤一:资产实例授权
  • 步骤二:连接数据库
  • 后续步骤
  • 取消授权
  • 取消资产授权
  • 取消数据库连接
  • 授权数管理
  • 消耗授权额度
  • 释放授权额度
  • 扩充授权数