备案控制台
文档
产品文档
输入文档关键字查找
首页 数据安全中心 操作指南 数据资产 接入数据库

接入数据库

更新时间:
一键部署
提交缺陷
产品详情
相关技术圈
我的收藏

在使用数据安全中心DSC(Data Security Center)检测云产品(包括OSS、RDS、PolarDB等)中存在的敏感数据或审计数据库活动前,您需要先将数据库接入DSC。本文介绍如何将数据库接入DSC。

背景信息

DSC支持的数据库类型详情,请参见支持的数据库类型

数据库连接方式说明

连接类型

说明

支持的数据资产类型

一键连接

指通过控制台按钮一键连接数据库的方式。

在连接过程中,数据安全中心会针对目标数据资产添加只读账号,数据安全中心通过该账号连接目标数据库,从而进行数据识别任务;由于该账号为只读权限,一键授权的数据库无法作为脱敏任务的目标数据库。

RDS、PolarDB、PolarDB-X 1.0(原DRDS)、OSS

关联账号

指通过手工输入数据库的账号、密码进行数据库连接的方式。

通过只读账号进行数据库连接后,该数据库可正常进行敏感数据识别、脱敏及审计任务,但无法作为脱敏任务的目标数据库;通过支持读写的账号进行数据库连接后,该数据库可作为脱敏任务的目标数据库来存储脱敏后的数据。

  • 结构化数据:

    RDS、PolarDB、PolarDB-X 1.0(原DRDS)、Redis、MongoDB、OceanBase、自建数据库

  • 大数据:

    TableStore、MaxCompute、ADB-MySQL、AnalyticDB for PostgreSQL(即ADB-PG)

说明

仅OSS不支持。

前提条件

已购买DSC服务并完成DSC访问云服务的授权。具体操作,请参见购买数据安全中心授权DSC访问云资源

步骤一:数据库实例授权

参考以下步骤完成数据库实例授权后,资产中心页面才会展示该实例。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据资产 > 资产中心

  3. 资产管理页签,单击资产授权管理

  4. 资产授权管理面板左侧产品名称导航栏,单击需要授权的产品名称。

  5. 单击目标资产操作列的授权

    需要批量授权时,选中目标资产,并单击批量授权

步骤二:连接数据库

完成数据库实例授权后,您可以根据数据库类型参考以下步骤连接数据安全中心与数据库,以便数据安全中心能访问数据库进行数据识别和脱敏。

​RDS、PolarDB、PolarDB-X

  1. 返回资产中心页面。

  2. 在左侧产品名称导航栏,单击目标云产品名称,例如RDS。

  3. 在数据库实例列表中,参考以下说明选择连接方式,连接数据库。

    • 一键连接:单击目标数据库实例操作列的一键连接,数据安全中心会自动创建只读账号访问该实例下的数据库。如果您只需为该数据库开启数据识别任务,可选择该方式。

    • 关联账号:单击目标数据库实例操作列的关联账号,在关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存

      • 如需对该数据库进行数据识别,需要将权限配置为只读

      • 如需将该数据库作为脱敏目标库,需要将权限配置为读写

    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。

  4. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    • 连接状态:

      • 已连接:表示数据库连接成功。

      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。

    • 功能状态:绿色表示已开启该功能。以下是功能说明:

      • 支持识别:支持数据识别。

      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。

      • 支持脱敏:支持脱敏。

    连接状态

Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG

  1. 返回资产中心页面。

  2. 在左侧产品名称导航栏,单击目标云产品名称,例如Redis。

  3. 在数据库实例列表中,单击目标数据库实例操作列的关联账号

    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。

  4. 关联账号面板,设置数据库的连接账号、登录密码和权限,并单击保存

    • 如需对该数据库进行数据识别,需要将权限配置为只读

    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写

  5. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    • 连接状态:

      • 已连接:表示数据库连接成功。

      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。

    • 功能状态:绿色表示已开启该功能。以下是功能说明:

      • 支持识别:支持数据识别。

      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。

      • 支持脱敏:支持脱敏。

​自建数据库

支持连接的自建数据库有以下限制:

  • 仅支持VPC网络中的ECS自建数据库。

  • 仅支持MySQL、SQL Server和Oracle类型的ECS自建数据库。

  • ECS自建数据库资产在连接数据安全中心之前,需要在自建数据库内,授予待连接用户指定IP段的远程访问权限。

  1. 登录数据库,授予待连接用户指定IP段的远程访问权限。

    以MySQL类型的ECS自建数据库命令为例,介绍用户授权过程。其他类型ECS自建数据库,请执行对应的授权命令。

    GRANT ALL PRIVILEGES ON *.* TO '用户'@'IP段' IDENTIFIED BY '密码'
    说明

    如果需要为多个IP段授权,您需要分别为每一个IP段执行上述授权命令。

    命令中参数说明如下所示:

    • 用户:待连接的ECS自建数据库用户名。

    • 授权命令中IP段与地域、用户资产所使用的网络有关。用户需要根据资产所在地域和所选择的网络类型,授权对应的IP段。IP段的具体说明,请参见表1.IP段说明

    • 密码:待连接的ECS自建数据库密码。

  2. 返回数据安全中心控制台资产中心页面。

  3. 在左侧产品名称导航栏,单击自建数据库

  4. 在数据库实例列表中,单击目标数据库实例操作列的关联账号

    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。

  5. 关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存

    • 如需对该数据库进行数据识别,需要将权限配置为只读

    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写

  6. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    • 连接状态:

      • 已连接:表示数据库连接成功。

      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。

    • 功能状态:绿色表示已开启该功能。以下是功能说明:

      • 支持识别:支持数据识别。

      • 支持脱敏:支持脱敏。

表1.IP段说明

地域

IP段

华北1(青岛)

  • 100.104.69.0/26

  • 100.104.48.128/26

华北 2(北京)

  • 100.104.250.0/26

  • 100.104.51.192/26

华北 3(张家口)

  • 100.104.37.128/26

  • 100.104.191.64/26

华北 5(呼和浩特)

  • 100.104.234.192/26

  • 100.104.26.128/26

华东 1(杭州)

  • 100.104.207.192/26

  • 100.104.232.64/26

华东 2(上海)

  • 100.104.238.64/26

  • 100.104.198.192/26

华南 1(深圳)

  • 100.104.247.0/26

  • 100.104.150.64/26

中国香港

  • 100.104.153.64/26

  • 100.104.65.192/26

阿里政务云

  • 100.104.88.64/26

  • 100.104.1.0/26

华东2 金融云

  • 100.104.254.0/26

  • 100.104.40.128/26

华东1 金融云

  • 100.104.207.192/26

  • 100.104.232.64/26

西南1(成都)

  • 100.104.152.128/26

  • 100.104.199.192/26

​OSS

  1. 返回资产中心页面。

  2. 在左侧产品名称导航栏,单击OSS

  3. 在数据库实例列表中,单击目标数据库实例操作列的一键连接

    数据安全中心会自动创建只读账号访问该实例下的数据库。

  4. 查看数据库的连接状态和功能状态。

    • 连接状态:

      • 已连接:表示数据库连接成功。

      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。

    • 功能状态:绿色表示已开启该功能。以下是功能说明:

      • 支持识别:支持数据识别。

      • 支持脱敏:支持脱敏。

      • 库脱敏:支持OCR(图片识别文字)功能。

    如需修改功能状态,您可以单击修改,在修改对话框中开启或关闭相应功能。

    连接状态

MaxCompute

连接MaxCompute数据库前,您需要将DSC数据访问子账号添加到MaxCompute项目中。

  1. 在MaxCompute客户端执行以下命令,添加授权账号yundun_sddp允许数据安全中心访问MaxCompute项目。

    连接至MaxCompute的具体操作,请参见选择连接工具

    use project_name;
add user aliyun$yundun_sddp;
grant admin to aliyun$yundun_sddp;

    执行该命令后,配置生效大约需要5分钟,请您耐心等待。

  2. 如果您配置了MaxCompute白名单功能,需要执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。如果您未配置MaxCompute白名单功能,则无需执行下述命令。

    您可以执行setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。

    setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>;
//11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是DSC服务使用的经典网络IP段,必须配置;
//VPC网段ID需要替换为您的MaxCompute项目所在地域的VPC网段ID。地域和VPC网段ID的对应关系详见以下表格。

    地域

    地域ID

    VPC网段ID

    华北 3(张家口)

    cn-zhangjiakou

    cn-zhangjiakou_399229

    华北 2(北京)

    cn-beijing

    cn-beijing_691047

    华南 1(深圳)

    cn-shenzhen

    cn-shenzhen_515895

    华东 2(上海)

    cn-shanghai

    cn-shanghai_28803

    华东 1(杭州)

    cn-hangzhou

    cn-hangzhou_551733

    设置白名单后,您需要等待5分钟再进行授权。

  3. 返回数据安全中心控制台资产中心页面。

  4. 在左侧产品名称导航栏,单击MaxCompute

  5. 在数据库实例列表中,单击目标数据库实例操作列的关联账号

    您也可以单击数据库实例左侧的展开图标图标,连接该实例下的数据库。

  6. 关联账号面板设置数据库的连接账号、登录密码和权限,并单击保存

    • 如需对该数据库进行数据识别,需要将权限配置为只读

    • 如需将该数据库作为脱敏目标库,需要将权限配置为读写

  7. 返回资产中心页面,单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    • 连接状态:

      • 已连接:表示数据库连接成功。

      • 连接失败:将鼠标移动至提示图标图标,查看连接失败的原因。如果提示账号或密码错误,请单击关联账号修改。

    • 功能状态:绿色表示已开启该功能。以下是功能说明:

      • 支持识别:支持数据识别。

      • 库脱敏:支持脱敏目标库权限,表示数据安全中心对该数据库有写入权限。

      • 支持脱敏:支持脱敏。

后续步骤

完成资产连接后,您需要前往审计配置页面为数据库实例设置审计模式。在资产中心页面右上角单击审计配置,可跳转至审计配置页面。具体操作,请参见审计配置

文档推荐
  • 本页导读 (1)
文档反馈