管理敏感数据

本文介绍设置敏感列、脱敏规则,以及申请查看敏感数据的步骤。

前提条件

  • 系统角色为管理员、DBA和安全管理员。

    说明

    鼠标移动到界面右上角的头像,查看您的角色。

  • 支持的数据库

    • 关系型数据库:

      • MySQL系列:RDS MySQLPolarDB MySQL版、其他来源MySQL

      • SQL Server系列:RDS SQL Server、其他来源SQL Server

      • PostgreSQL系列:RDS PostgreSQLPolarDB PostgreSQL版、其他来源PostgreSQL

      • MariaDB系列:RDS MariaDB、其他来源MariaDB

      • PolarDB PostgreSQL版(兼容Oracle)

      • PolarDB分布式版

      • OceanBase

      • Oracle

      • DB2

      • 达梦数据库

      • Lindorm:Lindorm_CQL、Lindorm_SQL

      • OpenGauss

    • 数据仓库:

      • AnalyticDB MySQL版

      • AnalyticDB PostgreSQL版

      • DLA(Data Lake Analytics)

      • ClickHouse

      • MaxCompute

      • Hologres

      • Hive

  • 实例已开通敏感数据保护功能。具体操作,请参见开通敏感数据保护

注意事项

  • 敏感数据保护功能仅对在DMS管理的数据库生效,对应用程序接口等其他端不生效。

  • 使用敏感数据保护功能不影响源数据库的数据。例如,对在DMS管理的RDS MySQL数据库数据进行脱敏,脱敏效果仅在DMS可见,不影响您的源数据库数据。

设置敏感列

说明

该功能仅管理员使用。

  1. 登录数据管理DMS 5.0
  2. 在页面左侧的数据库实例区域,搜索目标数据库。

  3. 右键单击目标数据库,选择表详情,进入表列表页面。

    说明

    您还可以通过SQL窗口进入目标表的详情页,选择SQL窗口 > SQL窗口,再选择目标数据库,单击确认,进入SQL Console页面,单击右上角的biaoxiangqing图标,即可进入。

  4. 单击目标表名左侧的展开图标,再单击调整,选择需要调整敏感级别的字段。

  5. 单击提交流程到安全部门

    页面会自动跳转至敏感等级工单详情页,单击同意,任务执行完成。

    说明

    提交的审批由角色为管理员、DBA或安全管理员的用户进行审批。

    至此字段的敏感数据等级调整完成。

  6. 返回至SQL Console页面,双击目标表,查看表中调整敏感等级的字段是否已加密。默认的加密算法类型为全遮掩。

    说明

    所有用户(包含管理员与DBA)需额外申请敏感列的权限才可查看对应数据,具体操作请参见申请敏感列访问权限

    mingan

设置脱敏规则

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择安全与规范 > 敏感数据管理 > 敏感数据资产

    说明

    若您使用的是极简模式的控制台,请单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范 > 敏感数据管理 > 敏感数据资产

  3. 进入敏感数据资产页面,单击右上角的全域敏感数据列表

  4. 字段管控页签下,选中需要调整脱敏规则的字段,单击调整脱敏算法

  5. 选择已有的脱敏规则,或新增脱敏规则。

    • 若选择已有的脱敏规则,单击保存

    • 若新增脱敏规则,则需要在脱敏规则页面,配置规则名称、脱敏算法等信息。详细信息,请参见新增脱敏算法

申请敏感列访问权限

说明

所有用户(包含管理员与DBA)在未申请敏感列数据权限前,均无法查询数据,需额外申请敏感列的权限才可查看。本示例以普通用户申请敏感列访问权限为例介绍。

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择安全与规范 > 权限中心 > 权限工单

    说明

    若您使用的是极简模式的控制台,请单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范 > 权限中心 > 权限工单

  3. 单击页面右上角的权限申请 > 敏感列-权限

  4. 进入权限工单申请页面,在搜索框中输入目标数据库名称,单击搜索,选中目标敏感列。

  5. 单击添加,将其移动至确认已选择的库/表/列框中。

  6. 选择权限区域,配置如下信息,并单击提交申请

    mingan

    配置项

    说明

    权限类型

    请按需申请查询导出变更权限,支持多选。

    脱敏方式

    请按需选择脱敏方式,当前支持的取值如下:

    • 半脱敏:数据将以对应的遮掩算法生成的形式展现。

    • 明文:数据将以明文形式展现。

    说明

    若您申请了半脱敏导出权限,您导出的数据也为半脱敏格式。

    期限

    请按需选择您的申请期限。

    申请原因

    请输入申请原因及背景,以减少审批流程中的沟通成本。

    说明

    提交申请后,请等待审批通过,您可以在控制台首页我的工单区域,单击提交工单查看权限申请工单的审核进度。

  7. 审批通过后,您可在SQL Console页面中查询敏感列数据。