文档

PolarDB的高级脱敏

本文介绍如何使用PolarDB MySQL版的高级脱敏功能。

功能介绍

为进一步提高PolarDB MySQL版引擎的数据安全、数据脱敏等方面的安全能力,阿里云将PolarDB MySQL版集群代理(Proxy)的脱敏功能与DMS的敏感数据保护功能集成,当DMS识别到敏感数据后,会根据脱敏规则自动对数据进行脱敏,并实时同步到PolarDB的Proxy,最后通过应用程序等工具查询数据。高级脱敏功能具有但不限于如下特性:

  • 统一管理敏感数据

  • 敏感数据分类分级

  • 周期性扫描敏感数据

  • 主动发现敏感数据

应用场景

实时从生产环境中的数据库(即生产库)获取用户已脱敏的数据来进行报表生成、数据分析、开发测试等。

前提条件

  • 已录入PolarDB MySQL版DMS。录入实例操作,请参见云数据库录入

  • 若您使用RAM用户(子账号)登录PolarDB控制台,则需保证该账号具有管理PolarDB控制台实例的权限。详细信息,请参见通过自定义策略授权RAM用户管理PolarDB

  • DMS的系统角色为管理员、DBA或安全管理员。

费用说明

若开启了DMS的敏感数据保护功能,则会收取一定的费用。费用详情,请参见商品类型及价格

注意事项

  • 目前该功能需要将您的阿里云账号加入白名单后才可使用。请提交工单联系技术支持处理。

  • 实际进行数据脱敏的操作由PolarDB的Proxy实现。实现原理,请参见工作原理

  • 高级脱敏功能暂不支持自定义脱敏算法。详细信息,请参见概述

操作步骤

步骤一:开启高级脱敏

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏中选择配置与管理 > 安全管理,单击动态脱敏页签。

  5. 单击立即开通

    立即开通字样变为关闭,则表示该集群已成功开启高级脱敏功能。

    说明

    在您录入DMSPolarDB MySQL版集群开启高级脱敏功能后,数据库代理将由PolarDB MySQL版集群提供,其在DMS的代理类型为独享模式

  6. 使用引导区域下方的敏感数据列表页签下,单击进入敏感数据管理

步骤二:开启敏感数据保护功能并进行敏感数据扫描

  1. 在实例列表中单击立即开启

  2. 开启敏感数据保护对话框中,配置如下信息并单击确认

    配置项

    说明

    立即配置扫描任务

    系统默认开启立即配置扫描任务开关。若开启,扫描范围为实例下的所有数据库。

    选择扫描模板

    选择扫描模板或新建模板。新建模板的具体操作,请参见创建分类分级模板

    扫描方式

    说明

    若开启立即配置扫描任务,则需要选择扫描方式。

    何时开启本次扫描任务。取值:

    • 即时任务(单次即时生效):立即开始扫描所选实例下的数据库。

    • 定时任务(单次定时生效):设定某个时间开始扫描所选实例下的数据库。

    • 周期任务:可选择按小时、按日、按天或按月的扫描周期,多次扫描所选实例下的数据库。

    扫描结果是否有效

    该参数的取值如下:

    • :立即生效。

    • :暂不生效。需要您前往识别结果页面,手动使识别结果生效。

    立即生效指立即给识别结果的字段打上分类分级标签。

  3. 在提示成功的对话框中,单击确认

  4. 实例列表区域的已开启页签下,单击任务详情,查看识别结果。

  5. 切换至PolarDB控制台,查看扫描到的敏感字段。

    您可通过表或字段两种视图查看敏感字段。

    说明
    • 敏感等级的划分依赖于DMS的分类分级模板设置的安全级别。更多信息,请参见管理分类分级模板

    • 仅被标记为密文的敏感字段,在查询时会自动脱敏。

步骤三:通过客户端查询脱敏数据

通过在PolarDB控制台配置数据库账号,再使用客户端登录配置的账号查询数据即可看到已脱敏的数据。以应用程序查询数据举例,操作步骤如下:

  1. PolarDB MySQL版实例控制台使用引导区域下方的账号列表页签下,单击配置账号

    说明

    脱敏数据仅针对该账号生效,在账号配置成功后2分钟左右生效。若使用未配置的数据库账号查询数据,查询结果仍为明文。

  2. 打开应用程序,连接目标数据库。

  3. 成功连接数据库后,找到目标表,输入并执行查询表的语句。

    执行成功后,该表中的敏感数据会以脱敏的形式呈现。

  • 本页导读 (1)