敏感数据访问

更新时间:
复制 MD 格式

敏感数据访问功能旨在确保数据访问的合规审计。该功能详细记录用户对敏感数据的每一次访问行为,包括操作时间、操作人员、操作内容等关键信息,从而为安全管理员提供全面的审计追踪能力。通过此功能,您可以有效评估和追踪每一个访问事件,以确保数据访问活动符合组织的安全政策和合规要求。本文将详细介绍敏感数据访问功能的相关信息,以帮助您更好地理解和使用该功能。

限制说明

  • 适用用户:开通DataWorks的标准版、专业版、企业版,且在安全中心选择DataWorks新版数据安全的用户。

  • 支持地域:华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、华南1(深圳)、西南1(成都)、中国香港、日本(东京)、新加坡、印度尼西亚(雅加达)。

  • 支持计算源:MaxCompute、Hologres。

前提条件

  • 登录DataWorks主账号或RAM账号,且拥有以下权限或角色满足任一条件:

    • 拥有AliyunDataWorksFullAccess权限的账号。

    • 拥有DataWorks租户安全管理员角色的账号。

    • 拥有DataWorks租户管理员角色的账号。

  • 已完成新用户指引

支持的引擎与时效性

重要

敏感数据是指敏感数据保护 > 数据分类分级中根据识别任务最终识别的结果列表。

敏感数据访问页面通过顶部 Tab 切换查看不同数据引擎的访问记录。各引擎对应的访问记录时效性如下:

数据引擎

时效性

MaxCompute

T+1

Hologres

T+2

EMR Hive

近实时

DLF

近实时

DLF Legacy

近实时

StarRocks

近实时

查看敏感数据访问

  1. 登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

  2. 在左侧导航栏,选择进入审计 > 敏感数据访问页面。

  3. 在页面顶部选择需要查看的引擎 Tab。

  4. 按需筛选目标记录:

    • 在页面顶部的筛选区,可按以下条件筛选:

      • 操作对象:按引擎层级依次选择操作对象。例如 MaxCompute 选择项目、表、字段;Hologres 选择实例、数据库、表、字段;EMR Hive 选择实例、表、字段;DLF 选择 catalog、数据库、表、字段。

      • 涉及数据类型:按敏感数据类型名称模糊搜索。

      • 操作时间:按访问发生的时间范围筛选。

    • 在表头单击筛选图标,可进一步按以下字段筛选:操作者操作类型行为类型

  5. 查看访问记录列表,列表字段说明如下:

    字段

    说明

    时间

    操作者访问敏感数据事件的日期和时间。

    操作者

    事件中操作者使用的账号信息。有可能是用户登录账号,也可能是数据源的默认访问身份指定的RAM账号或主账号。

    操作对象

    事件中被访问的敏感数据资源(如项目、表、字段等),具体层级取决于所选引擎。

    操作类型

    操作者对敏感数据的操作属于哪种类型。

    涉及数据类型

    事件中操作者访问的敏感数据中覆盖的数据类型。

    行为类型

    区分系统行为,还是用户行为。敏感数据识别任务运行过程中产生的数据抽样行为为系统行为

    操作

    单击详情可查看该条访问记录的详情,详情字段说明请参见下方查看访问记录详情

查看访问记录详情

在敏感数据访问列表中,单击目标记录所在行的详情,打开敏感数据访问记录详情弹窗,查看以下字段:

  • 时间:操作者访问敏感数据事件的日期和时间。

  • 操作者:操作者使用的账号信息。

  • 操作类型:操作者对敏感数据的操作类型。

  • 操作内容:操作者执行的具体 SQL 语句。

涉及敏感数据子表列出本次操作涉及的敏感数据明细,字段说明如下:

字段

说明

字段名

被访问的敏感数据所在的列名。

表名称

被访问的敏感数据所在的表名。

数据类型

该列敏感数据对应的敏感数据类型名称。

引擎类型

该敏感数据所属的引擎类型。

导出敏感数据访问记录

您可以将筛选后的敏感数据访问记录导出为文件,便于离线归档或分析。

  1. 设置好筛选条件后,在页面右上方单击导出

  2. 在弹出的创建导出任务对话框中确认提示信息,单击创建。系统将根据当前筛选条件创建导出任务。

  3. 单击页面右上方的导出任务,在打开的抽屉中查看导出任务状态并下载导出文件。