在使用数据安全中心DSC(Data Security Center)检测云产品(包括OSS、RDS、PolarDB等)中存在的敏感数据或审计数据库活动前,您需要先将数据库接入DSC。本文介绍如何将数据库接入DSC。
背景信息
DSC支持的数据库类型详情,请参见支持的数据库类型。
数据库连接方式说明
连接类型 | 说明 | 支持的数据资产类型 |
一键连接 | 指通过控制台按钮一键连接数据库的方式。 在连接过程中,数据安全中心会针对目标数据资产添加只读账号,数据安全中心通过该账号连接目标数据库,从而进行数据识别任务;由于该账号为只读权限,一键授权的数据库无法作为脱敏任务的目标数据库。 | RDS、PolarDB、PolarDB-X 1.0(原DRDS)、OSS |
关联账号 | 指通过手工输入数据库的账号、密码进行数据库连接的方式。 通过只读账号进行数据库连接后,该数据库可正常进行敏感数据识别、脱敏及审计任务,但无法作为脱敏任务的目标数据库;通过支持读写的账号进行数据库连接后,该数据库可作为脱敏任务的目标数据库来存储脱敏后的数据。 |
说明 仅OSS不支持。 |
前提条件
已购买DSC服务并完成DSC访问云服务的授权。具体操作,请参见购买数据安全中心和授权DSC访问云资源。
步骤一:数据库实例授权
参考以下步骤完成数据库实例授权后,资产中心页面才会展示该实例。
登录数据安全中心控制台。
在左侧导航栏,选择 。
在资产管理页签,单击资产授权管理。
在资产授权管理面板左侧产品名称导航栏,单击需要授权的产品名称。
单击目标资产操作列的授权。
需要批量授权时,选中目标资产,并单击批量授权。
步骤二:连接数据库
完成数据库实例授权后,您可以根据数据库类型参考以下步骤连接数据安全中心与数据库,以便数据安全中心能访问数据库进行数据识别和脱敏。
RDS、PolarDB、PolarDB-X
返回资产中心页面。
在左侧产品名称导航栏,单击目标云产品名称,例如RDS。
在数据库实例列表中,参考以下说明选择连接方式,连接数据库。
一键连接:单击目标数据库实例操作列的一键连接,数据安全中心会自动创建只读账号访问该实例下的数据库。如果您只需为该数据库开启数据识别任务,可选择该方式。
关联账号:单击目标数据库实例操作列的关联账号,在关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存。
如需对该数据库进行数据识别,需要将权限配置为只读。
如需将该数据库作为脱敏目标库,需要将权限配置为读写。
您也可以单击数据库实例左侧的图标,连接该实例下的数据库。
单击数据库实例左侧的图标,查看数据库的连接状态和功能状态。
连接状态:
已连接:表示数据库连接成功。
连接失败:将鼠标移动至图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
功能状态:绿色表示已开启该功能。以下是功能说明:
:支持数据识别。
:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
:支持脱敏。
Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG
返回资产中心页面。
在左侧产品名称导航栏,单击目标云产品名称,例如Redis。
在数据库实例列表中,单击目标数据库实例操作列的关联账号。
您也可以单击数据库实例左侧的图标,连接该实例下的数据库。
在关联账号面板,设置数据库的连接账号、登录密码和权限,并单击保存。
如需对该数据库进行数据识别,需要将权限配置为只读。
如需将该数据库作为脱敏目标库,需要将权限配置为读写。
返回资产中心页面,单击数据库实例左侧的图标,查看数据库的连接状态和功能状态。
连接状态:
已连接:表示数据库连接成功。
连接失败:将鼠标移动至图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
功能状态:绿色表示已开启该功能。以下是功能说明:
:支持数据识别。
:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
:支持脱敏。
自建数据库
支持连接的自建数据库有以下限制:
仅支持VPC网络中的ECS自建数据库。
仅支持MySQL、SQL Server和Oracle类型的ECS自建数据库。
ECS自建数据库资产在连接数据安全中心之前,需要在自建数据库内,授予待连接用户指定IP段的远程访问权限。
登录数据库,授予待连接用户指定IP段的远程访问权限。
以MySQL类型的ECS自建数据库命令为例,介绍用户授权过程。其他类型ECS自建数据库,请执行对应的授权命令。
GRANT ALL PRIVILEGES ON *.* TO '用户'@'IP段' IDENTIFIED BY '密码'
说明如果需要为多个IP段授权,您需要分别为每一个IP段执行上述授权命令。
命令中参数说明如下所示:
用户:待连接的ECS自建数据库用户名。
授权命令中IP段与地域、用户资产所使用的网络有关。用户需要根据资产所在地域和所选择的网络类型,授权对应的IP段。IP段的具体说明,请参见表1.IP段说明。
密码:待连接的ECS自建数据库密码。
返回数据安全中心控制台资产中心页面。
在左侧产品名称导航栏,单击自建数据库。
在数据库实例列表中,单击目标数据库实例操作列的关联账号。
您也可以单击数据库实例左侧的图标,连接该实例下的数据库。
在关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存。
如需对该数据库进行数据识别,需要将权限配置为只读。
如需将该数据库作为脱敏目标库,需要将权限配置为读写。
返回资产中心页面,单击数据库实例左侧的图标,查看数据库的连接状态和功能状态。
连接状态:
已连接:表示数据库连接成功。
连接失败:将鼠标移动至图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
功能状态:绿色表示已开启该功能。以下是功能说明:
:支持数据识别。
:支持脱敏。
表1.IP段说明
地域 | IP段 |
华北1(青岛) |
|
华北 2(北京) |
|
华北 3(张家口) |
|
华北 5(呼和浩特) |
|
华东 1(杭州) |
|
华东 2(上海) |
|
华南 1(深圳) |
|
中国香港 |
|
阿里政务云 |
|
华东2 金融云 |
|
华东1 金融云 |
|
西南1(成都) |
|
OSS
返回资产中心页面。
在左侧产品名称导航栏,单击OSS。
在数据库实例列表中,单击目标数据库实例操作列的一键连接。
数据安全中心会自动创建只读账号访问该实例下的数据库。
查看数据库的连接状态和功能状态。
连接状态:
已连接:表示数据库连接成功。
连接失败:将鼠标移动至图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
功能状态:绿色表示已开启该功能。以下是功能说明:
:支持数据识别。
:支持脱敏。
:支持OCR(图片识别文字)功能。
如需修改功能状态,您可以单击修改,在修改对话框中开启或关闭相应功能。
MaxCompute
连接MaxCompute数据库前,您需要将DSC数据访问子账号添加到MaxCompute项目中。
在MaxCompute客户端执行以下命令,添加授权账号yundun_sddp允许数据安全中心访问MaxCompute项目。
连接至MaxCompute的具体操作,请参见选择连接工具。
use project_name; add user aliyun$yundun_sddp; grant admin to aliyun$yundun_sddp;
执行该命令后,配置生效大约需要5分钟,请您耐心等待。
如果您配置了MaxCompute白名单功能,需要执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。如果您未配置MaxCompute白名单功能,则无需执行下述命令。
您可以执行
setproject;
命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=
等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>; //11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是DSC服务使用的经典网络IP段,必须配置; //VPC网段ID需要替换为您的MaxCompute项目所在地域的VPC网段ID。地域和VPC网段ID的对应关系详见以下表格。
地域
地域ID
VPC网段ID
华北 3(张家口)
cn-zhangjiakou
cn-zhangjiakou_399229
华北 2(北京)
cn-beijing
cn-beijing_691047
华南 1(深圳)
cn-shenzhen
cn-shenzhen_515895
华东 2(上海)
cn-shanghai
cn-shanghai_28803
华东 1(杭州)
cn-hangzhou
cn-hangzhou_551733
设置白名单后,您需要等待5分钟再进行授权。
返回数据安全中心控制台资产中心页面。
在左侧产品名称导航栏,单击MaxCompute。
在数据库实例列表中,单击目标数据库实例操作列的关联账号。
您也可以单击数据库实例左侧的图标,连接该实例下的数据库。
在关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存。
如需对该数据库进行数据识别,需要将权限配置为只读。
如需将该数据库作为脱敏目标库,需要将权限配置为读写。
返回资产中心页面,单击数据库实例左侧的图标,查看数据库的连接状态和功能状态。
连接状态:
已连接:表示数据库连接成功。
连接失败:将鼠标移动至图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
功能状态:绿色表示已开启该功能。以下是功能说明:
:支持数据识别。
:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
:支持脱敏。
后续步骤
完成资产连接后,您需要前往审计配置页面为数据库实例设置审计模式。在资产中心页面右上角单击审计配置,可跳转至审计配置页面。具体操作,请参见审计配置。
- 本页导读 (1)