本文介绍如何使用PolarDB MySQL版的高级脱敏功能。
功能介绍
为进一步提高PolarDB MySQL版引擎的数据安全、数据脱敏等方面的安全能力,阿里云将PolarDB MySQL版集群代理(Proxy)的脱敏功能与DMS的敏感数据保护功能集成,当DMS识别到敏感数据后,会根据脱敏规则自动对数据进行脱敏,并实时同步到PolarDB的Proxy,最后通过应用程序等工具查询数据。高级脱敏功能具有但不限于如下特性:
统一管理敏感数据
敏感数据分类分级
周期性扫描敏感数据
主动发现敏感数据
应用场景
实时从生产环境中的数据库(即生产库)获取用户已脱敏的数据来进行报表生成、数据分析、开发测试等。
前提条件
已录入PolarDB MySQL版至DMS。录入实例操作,请参见云数据库录入。
若您使用RAM用户(子账号)登录PolarDB控制台,则需保证该账号具有管理PolarDB控制台实例的权限。详细信息,请参见通过自定义策略授权RAM用户管理PolarDB。
DMS的系统角色为管理员、DBA或安全管理员。
费用说明
若开启了DMS的敏感数据保护功能,则会收取一定的费用。费用详情,请参见商品类型及价格。
注意事项
操作步骤
步骤一:开启高级脱敏
- 登录PolarDB控制台。
- 在控制台左上角,选择集群所在地域。
- 找到目标集群,单击集群ID。
在左侧导航栏中选择配置与管理 > 安全管理,单击动态脱敏页签。
单击立即开通。
若立即开通字样变为关闭,则表示该集群已成功开启高级脱敏功能。
说明在您录入DMS的PolarDB MySQL版集群开启高级脱敏功能后,数据库代理将由PolarDB MySQL版集群提供,其在DMS的代理类型为独享模式。
在使用引导区域下方的敏感数据列表页签下,单击进入敏感数据管理。
步骤二:开启敏感数据保护功能并进行敏感数据扫描
在实例列表中单击立即开启。
在开启敏感数据保护对话框中,配置如下信息并单击确认。
配置项
说明
立即配置扫描任务
系统默认开启立即配置扫描任务开关。若开启,扫描范围为实例下的所有数据库。
选择扫描模板
选择扫描模板或新建模板。新建模板的具体操作,请参见创建分类分级模板。
扫描方式
说明若开启立即配置扫描任务,则需要选择扫描方式。
何时开启本次扫描任务。取值:
即时任务(单次即时生效):立即开始扫描所选实例下的数据库。
定时任务(单次定时生效):设定某个时间开始扫描所选实例下的数据库。
周期任务:可选择按小时、按日、按天或按月的扫描周期,多次扫描所选实例下的数据库。
扫描结果是否有效
该参数的取值如下:
是:立即生效。
否:暂不生效。需要您前往识别结果页面,手动使识别结果生效。
立即生效指立即给识别结果的字段打上分类分级标签。
在提示成功的对话框中,单击确认。
在实例列表区域的已开启页签下,单击任务详情,查看识别结果。
切换至PolarDB控制台,查看扫描到的敏感字段。
您可通过表或字段两种视图查看敏感字段。
说明敏感等级的划分依赖于DMS的分类分级模板设置的安全级别。更多信息,请参见管理分类分级模板。
仅被标记为密文的敏感字段,在查询时会自动脱敏。
步骤三:通过客户端查询脱敏数据
通过在PolarDB控制台配置数据库账号,再使用客户端登录配置的账号查询数据即可看到已脱敏的数据。以应用程序查询数据举例,操作步骤如下:
在PolarDB MySQL版实例控制台使用引导区域下方的账号列表页签下,单击配置账号。
说明脱敏数据仅针对该账号生效,在账号配置成功后2分钟左右生效。若使用未配置的数据库账号查询数据,查询结果仍为明文。
打开应用程序,连接目标数据库。
成功连接数据库后,找到目标表,输入并执行查询表的语句。
执行成功后,该表中的敏感数据会以脱敏的形式呈现。