文档

系统配置

更新时间:

您可在数据保护伞的系统配置页面,设置数据保护伞的识别内容、识别范围,水印文件保存时间,是否展示风险识别的数据安全等级,以及告警信息的接收邮件及WebHook地址,以便及时发现并处理潜在安全风险。

进入系统配置页面

  1. 进入数据开发页面。

    登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据建模与开发 > 数据开发,在下拉框中选择对应工作空间后单击进入数据开发

  2. 单击左上方的图标图标,选择全部产品 > 数据治理 > 数据保护伞,单击立即体验,进入数据保护伞。

    说明
    • 若阿里云主账号已授权,则直接进入数据保护伞的首页。

    • 若阿里云主账号未授权,则进入数据保护伞的授权页面。授权后才可使用保护伞的相关功能。

  3. 单击左侧导航栏的系统配置,进入系统配置页面。

    在该页面,可设置数据保护伞的识别内容、识别范围,水印文件保存时间,是否展示数据安全等级,以及告警信息的接收邮件及WebHook地址。

配置敏感数据识别及处理策略

识别配置

系统配置 > 识别配置页签,可配置敏感数据的识别内容及范围。

image

参数说明如下。

类别

配置项

描述

基础配置

识别账号

用于控制数据识别管控的数据范围。

  • 主账号:表示管控主账号所属工作空间中的数据。

  • 子账号:表示管控子账号所属工作空间中的数据。

内容识别

用于控制数据保护伞是否对数据库中的表数据进行抽样和扫描。

若关闭内容识别,敏感数据识别中基于内容的识别规则将不生效,但基于字段名称、字段注释的识别规则依然生效。

识别范围

引擎类型:

  • MaxCompute

  • Hologres

  • E-MapReduce

用于控制各类型引擎是否每日自动识别任务的敏感数据。

  • 若您的数据结构更新不频繁,则无需开启每日自动识别敏感数据。如需识别某任务的敏感数据,可在敏感数据识别功能中手动触发识别。详情请参见配置数据识别规则

  • 若关闭每日自动识别任务的敏感数据,系统将不会每天自动识别敏感数据并更新识别结果,且保留最近一次的识别结果。

敏感数据识别范围默认扫描主账号或子账号能够获取到的所有项目。识别范围:

  • 支持选择是否包含外表。

  • 支持通过识别白名单控制需要识别的项目空间。

  • 支持通过识别黑名单控制不进行识别的项目空间。

说明

输入多个项目空间名称时,请用英文逗号(,)分隔。

水印溯源

系统配置 > 水印溯源页签,可设置数据水印文件的存储时间,支持设置为一年、两年或三年。例如,设置追溯时间为两年,则当发现数据泄露时,您可追溯是否为两年内的操作导致的数据泄露。

打标配置

系统配置 > 打标配置页签,可设置是否对MaxCompute数据分类分级的结果打标。

开启打标后,数据分类分级结果将直接添加到MaxCompute表对应列的Label(敏感等级标签)上,并在DataWorks数据地图表详情页面的字段信息中展示列的安全等级。详情请参见查看表详情

说明
  • 开启打标后,如果在数据地图中仍然看不到列级别安全等级,请确认是否开启列级别访问控制开关。详情请参见Label权限控制

  • 开启打标后,MaxCompute引擎中的列分级结果将对您的权限管控产生影响,您需要在手动修正数据页面确认字段级别,当MaxCompute中配置的访问许可等级标签低于字段级别时,将无法访问对应字段。设置访问许可等级标签,请参见Label权限控制

告警设置

系统配置 > 告警设置页签,可设置接收告警信息的邮件或Webhook地址。当检测到敏感数据后,便会发送告警信息知会相关人员及时评估并处理风险。

  • 邮件接收地址

    配置接收告警信息的邮箱。当识别到风险数据时,系统将发送报警信息至该邮箱。若您需要新增报警联系人信息,请参见查看和设置报警联系人

  • WebHook接收地址

    DataWorks支持输入钉钉群、企业微信、飞书的WebHook地址。当识别到风险数据时,系统将根据您的配置,发送报警信息至指定群组。

    说明

    仅DataWorks企业版及以上版本支持推送告警信息至企业微信或飞书。

  • 本页导读 (1)