在使用数据安全中心DSC(Data Security Center)检测云产品(包括OSS、RDS、PolarDB等)中存在的敏感数据或审计数据库活动前,您需要先将数据库接入DSC。本文介绍如何将数据库接入DSC。

背景信息

DSC支持的数据库类型详情,请参见支持的数据库类型

数据库连接方式说明

连接类型说明支持的数据资产类型
一键连接指通过控制台按钮一键连接数据库的方式。

在连接过程中,数据安全中心会针对目标数据资产添加只读账号,数据安全中心通过该账号连接目标数据库,从而进行数据识别任务;由于该账号为只读权限,一键授权的数据库无法作为脱敏任务的目标数据库。

RDS、PolarDB、PolarDB-X 1.0(原DRDS)、OSS
关联账号指通过手工输入数据库的账号、密码进行数据库连接的方式。

通过只读账号进行数据库连接后,该数据库可正常进行敏感数据识别、脱敏及审计任务,但无法作为脱敏任务的目标数据库;通过支持读写的账号进行数据库连接后,该数据库可作为脱敏任务的目标数据库来存储脱敏后的数据。

  • 结构化数据:

    RDS、PolarDB、PolarDB-X 1.0(原DRDS)、Redis、MongoDB、OceanBase、自建数据库

  • 大数据:

    TableStore、MaxCompute、ADB-MySQL、AnalyticDB for PostgreSQL(即ADB-PG)

说明 仅OSS不支持。

前提条件

已购买DSC服务并完成DSC访问云服务的授权。具体操作,请参见购买数据安全中心授权DSC访问云资源

步骤一:数据库实例授权

参考以下步骤完成数据库实例授权后,资产中心页面才会展示该实例。

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据资产 > 资产中心
  3. 资产管理页签,单击资产授权管理
  4. 资产授权管理面板左侧产品名称导航栏,单击需要授权的产品名称。
  5. 单击目标资产操作列的授权
    需要批量授权时,选中目标资产,并单击批量授权

步骤二:连接数据库

完成数据库实例授权后,您可以根据数据库类型参考以下步骤连接数据安全中心与数据库,以便数据安全中心能访问数据库进行数据识别和脱敏。

​RDS、PolarDB、PolarDB-X

  1. 返回资产中心页面。
  2. 在左侧产品名称导航栏,单击目标云产品名称,例如RDS。
  3. 在数据库实例列表中,参考以下说明选择连接方式,连接数据库。
    • 一键连接:单击目标数据库实例操作列的一键连接,数据安全中心会自动创建只读账号访问该实例下的数据库。如果您只需为该数据库开启数据识别任务,可选择该方式。
    • 关联账号:单击目标数据库实例操作列的关联账号,在关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存
      • 如需对该数据库进行数据识别,需要将权限配置为只读
      • 如需将该数据库作为脱敏目标库,需要将权限配置为读写

    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。

  4. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。
    • 连接状态:
      • 已连接:表示数据库连接成功。
      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
    • 功能状态:绿色表示已开启该功能。以下是功能说明:
      • 支持识别:支持数据识别。
      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
      • 支持脱敏:支持脱敏。
    连接状态

Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG

  1. 返回资产中心页面。
  2. 在左侧产品名称导航栏,单击目标云产品名称,例如Redis。
  3. 在数据库实例列表中,单击目标数据库实例操作列的关联账号
    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。
  4. 关联账号面板,设置数据库的连接账号、登录密码和权限,并单击保存
    • 如需对该数据库进行数据识别,需要将权限配置为只读
    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写
  5. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。
    • 连接状态:
      • 已连接:表示数据库连接成功。
      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
    • 功能状态:绿色表示已开启该功能。以下是功能说明:
      • 支持识别:支持数据识别。
      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
      • 支持脱敏:支持脱敏。

​自建数据库

支持连接的自建数据库有以下限制:
  • 仅支持VPC网络中的ECS自建数据库。
  • 仅支持MySQL、SQL Server和Oracle类型的ECS自建数据库。
  • ECS自建数据库资产在连接数据安全中心之前,需要在自建数据库内,授予待连接用户指定IP段的远程访问权限。
  1. 登录数据库,授予待连接用户指定IP段的远程访问权限。
    以MySQL类型的ECS自建数据库命令为例,介绍用户授权过程。其他类型ECS自建数据库,请执行对应的授权命令。
    GRANT ALL PRIVILEGES ON *.* TO '用户'@'IP段' IDENTIFIED BY '密码'
    命令中参数说明如下所示:
    • 用户:待连接的ECS自建数据库用户名。
    • 授权命令中IP段与地域、用户资产所使用的网络有关。用户需要根据资产所在地域和所选择的网络类型,授权对应的IP段。IP段的具体说明,请参见IP段说明
    • 密码:待连接的ECS自建数据库密码。
  2. 返回数据安全中心控制台资产中心页面。
  3. 在左侧产品名称导航栏,单击自建数据库
  4. 在数据库实例列表中,单击目标数据库实例操作列的关联账号
    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。
  5. 关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存
    • 如需对该数据库进行数据识别,需要将权限配置为只读
    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写
  6. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。
    • 连接状态:
      • 已连接:表示数据库连接成功。
      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
    • 功能状态:绿色表示已开启该功能。以下是功能说明:
      • 支持识别:支持数据识别。
      • 支持脱敏:支持脱敏。
表 1. IP段说明
地域IP段
华东 2(上海)
  • 100.104.238.64/26
  • 100.104.198.192/26
华北 2(北京)
  • 100.104.250.0/26
  • 100.104.51.192/26
华东 1(杭州)
  • 100.104.207.192/26
  • 100.104.232.64/26
华南 1(深圳)
  • 100.104.247.0/26
  • 100.104.150.64/26
华北 3(张家口)
  • 100.104.37.128/26
  • 100.104.191.64/26
华北 5(呼和浩特)
  • 100.104.234.192/26
  • 100.104.26.128/26
中国香港
  • 100.104.153.64/26
  • 100.104.65.192/26
亚太东南 1(新加坡)
  • 100.104.158.192/26
  • 100.104.218.128/26
马来西亚(吉隆坡)
  • 100.104.240.128/26
  • 100.104.127.0/26
印度尼西亚(雅加达)
  • 100.104.127.0/26
  • 100.104.182.128/26

​OSS

  1. 返回资产中心页面。
  2. 在左侧产品名称导航栏,单击OSS
  3. 在数据库实例列表中,单击目标数据库实例操作列的一键连接
    数据安全中心会自动创建只读账号访问该实例下的数据库。
  4. 查看数据库的连接状态和功能状态。
    • 连接状态:
      • 已连接:表示数据库连接成功。
      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
    • 功能状态:绿色表示已开启该功能。以下是功能说明:
      • 支持识别:支持数据识别。
      • 支持脱敏:支持脱敏。
      • 库脱敏:支持OCR(图片识别文字)功能。

    如需修改功能状态,您可以单击修改,在修改对话框中开启或关闭相应功能。

    连接状态

MaxCompute

连接MaxCompute数据库前,您需要将DSC数据访问子账号添加到MaxCompute项目中。

  1. 在MaxCompute客户端执行以下命令,将DSC数据访问子账号yundun_sddp添加到需连接的MaxCompute项目中。
    use project_name;
add user aliyun$yundun_sddp;
grant admin to aliyun$yundun_sddp;
    根据以下说明判断接下来执行的步骤。
    • 如果当前步骤执行后无报错提示,请直接跳转至步骤3
    • 如果当前步骤执行后提示添加失败,请执行步骤2
  2. 执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。
    
setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>;
//11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是DSC服务使用的经典网络IP段,必须配置;
//VPC网段ID需要替换为您的MaxCompute项目所在地域的VPC网段ID。地域和VPC网段ID的对应关系详见以下表格。

    如果您已开启了MaxCompute IP白名单限制,为了避免资产授权失败,您需要执行本步骤将DSC服务IP地址添加到MaxCompute IP白名单中。您可以执行setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。

    地域地域IDVPC网段ID
    华北 3(张家口)cn-zhangjiakoucn-zhangjiakou_399229
    华北 2(北京)cn-beijingcn-beijing_691047
    华南 1(深圳)cn-shenzhencn-shenzhen_515895
    华东 2(上海)cn-shanghaicn-shanghai_28803
    华东 1(杭州)cn-hangzhoucn-hangzhou_551733
    说明 设置IP白名单后,您需要等待5分钟再进行授权。
  3. 返回数据安全中心控制台资产中心页面。
  4. 在左侧产品名称导航栏,单击MaxCompute
  5. 在数据库实例列表中,单击目标数据库实例操作列的关联账号
    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。
  6. 关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存
    • 如需对该数据库进行数据识别,需要将权限配置为只读
    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写
  7. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。
    • 连接状态:
      • 已连接:表示数据库连接成功。
      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。
    • 功能状态:绿色表示已开启该功能。以下是功能说明:
      • 支持识别:支持数据识别。
      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。
      • 支持脱敏:支持脱敏。

后续步骤

完成资产连接后,您需要前往审计配置页面为数据库实例设置审计模式。在资产中心页面右上角单击审计配置,可跳转至审计配置页面。具体操作,请参见审计配置