企业管理员使用数据域可以基于业务属性、组织架构、数据特征等维度对数据资产进行分类管理。通过将拥有共同属性的数据资产集中到同一个数据域中,管理员可以高效管理数据资产及资产中的敏感数据。本文介绍首次使用数据域功能的具体操作。
应用场景
企业中有较多的数据资产,分别属于不同的部门,需要按部门划分资产以便数据管理员高效管理。
需要将数据资产划分给不同的数据管理员。数据管理员只能管理权限范围内的资产,从而实现管理权限控制。
步骤一:添加数据域
添加数据域前,建议您根据业务单元或组织架构等规划需要添加的数据域名称和层级关系(最多支持创建三级数据域),然后重复执行以下步骤添加多个数据域。您也可以使用批量导入功能添加数据域。具体操作,请参见更多操作。
- 登录数据安全中心控制台。
在左侧导航栏,选择
。在自定义数据域右侧,单击添加。
在添加数据域对话框,填写数据域名称和描述信息,并单击确定。
完成添加数据域的操作后,您可以通过拖拽数据域名称改变数据域的位置、调整数据域的层级关系。
步骤二:为数据域添加资产
数据安全中心支持系统默认的数据域和用户自定义的数据域,未添加至任何数据域的资产都属于默认数据域。一个资产只能划分至一个数据域。参考以下步骤为数据域添加资产。
在左侧数据域列表,单击要添加资产的数据域名称。
单击添加资产。
在添加数据资产面板,选中需要添加的资产,并单击确定。
可选:使用移动或批量移动功能,更改资产的数据域。
打开需要更改数据域的资产所在的数据域,选中需要变更的资产,在资产列表下方单击批量移动。
数据域名称右侧的数字代表该数据域及其子数据域总的资产数量。将资产添加至数据域后,您可以按数据域查看资产的敏感数据识别结果。具体操作,请参见查看敏感数据识别结果。
步骤三:同步数据管理员信息
一个阿里云账号可以创建多个RAM用户。通过授予RAM用户AliyunYundunSDDPDataManager权限并使用同步用户功能,可将RAM用户同步到数据安全中心控制台,作为数据域管理员。
以下是数据域相关权限策略的说明:
权限策略 | 说明 |
AliyunYundunSDDPFullAccess | 拥有数据安全中心服务的所有权限。包括数据域管理的权限,拥有该权限的RAM用户可以执行数据域支持的所有操作。 |
AliyunYundunSDDPReadOnlyAccess | 拥有数据安全中心服务的只读权限。拥有该权限的RAM用户只能查看所有数据域,无法对数据域进行其他操作,例如编辑数据域、删除数据域、移动资产等。 |
AliyunYundunSDDPDataManager | 拥有数据安全中心数据域管理权限。 授予RAM用户该权限后,在数据安全中心控制台同步该用户信息,设置RAM用户可以管理的数据域范围后,RAM用户可以查看并管理权限范围内的数据域资产。 |
- 在数据管理页面,单击数据管理员页签。
可选:新建RAM用户。
单击新建用户。
在新建用户面板,单击RAM控制台。
在RAM控制台创建用户页面,填写用户信息,并单击确定。创建用户的具体操作,请参见创建RAM用户。
返回数据安全中心控制台,在新建用户面板,单击新建完成。
为RAM用户授予数据库管理员权限。
在RAM控制台用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限。
您需要将系统策略选择为AliyunYundunSDDPDataManager。关于授权的更多信息,请参见为RAM用户授权。
单击确定。
在数据安全中心控制台数据管理页面数据管理员页签下,单击同步用户。
同步用户会将当前阿里云账号下所有已授予AliyunYundunSDDPDataManager权限的RAM用户同步到数据管理员列表中。
步骤四:为RAM用户设置可管理的数据域
同步用户后,您需要为RAM用户设置可管理的数据域范围。
在数据管理员页签,单击目标RAM用户操作列的编辑可管理数据域。
在编辑可管理的数据域面板,选中需要管理的数据域,并单击确定。
完成设置后,RAM用户只能查看权限范围内的数据域下的资产,执行修改数据域、添加资产、移动资产等操作。RAM用户只能将资产移动到权限范围内的数据域下。
更多操作
批量管理数据域
需要大规模调整多个数据域下的资产时,您可以使用批量导入功能。通过下载并修改数据域模板文件,快速管理数据域。仅支持阿里云账号和具有AliyunYundunSDDPFullAccess权限的RAM用户使用该功能。
- 登录数据安全中心控制台。
在左侧导航栏,选择
。在数据管理页面,单击右上角批量管理。
在批量管理对话框,单击数据安全中心数据域模板.xlsx下载模板。
修改已下载的模板文件中的数据域信息并保存。
编辑模板文件时,您需要关注以下信息:
最多支持三级数据域。
一个资产只能属于一个数据域。
在是否删除列可以设置是否删除数据域或从数据域中移出该资产。
在数据域目录节点(即没有资产信息的行)可以设置是否删除该数据域,在有资产信息的行设置是否移出该资产。删除数据域或移出资产后,被删除的数据域下的资产或被移出的资产将属于默认数据域。取值:
0:不删除、不移出。
1:删除、移出。
在批量导入对话框,单击导入本地文件,导入修改后的模板文件,并单击确定。
修改数据域
需要修改数据域、为数据域添加子节点时,您可以参考以下步骤操作。
- 登录数据安全中心控制台。
在左侧导航栏,选择
。在数据域配置页面,将鼠标移动至数据域右侧的资产数字处,单击图标,选择您需要执行的操作。
修改数据域:修改数据域的名称和描述。
添加子节点:在当前数据域下创建子级数据域,最多支持创建三级数据域。
添加同级节点:添加同级数据域。
删除:删除当前数据域。对于存在子数据域的数据域,您需要先删除子数据域才能删除该数据域。删除数据域后,数据域中的资产将被自动移动到默认数据域中。
相关文档
- 本页导读 (1)