部分云数据库提供了OpenAPI,允许用户创建账号并授予数据库权限。数据安全中心DSC(Data Security Center)通过资产发现,一键连接获取到资产实例及数据库,通过STS Token临时访问凭证调用云产品的OpenAPI,并建立DSC到云产品的单向访问网络,实现只读访问云数据库实例。通过只读权限,DSC可以检测并识别云数据库实例(表、Bucket)中的敏感数据,以保障数据的安全性。
一键连接说明
支持的数据资产类型:RDS、PolarDB、PolarDB-X、Redis、OSS、TableStore、MaxCompute。
账号说明:在连接过程中,DSC会自动在目标数据资产中添加只读账号,通过该账号连接目标数据库执行数据识别任务。
安全合规说明
下图所示为资产授权完整生命周期的原理图,如授权流程图示:您开启一键连接前,需要完成服务关联角色授权,阿里云将根据授权自动创建账号来识别资产,并在您的实例过期后,自动进行账号清理,且不会额外拉取和保留您的数据。
您可以使用数据安全中心扫描和识别您的数据资产,帮助您实时获取对应数据的安全状态。
服务关联角色授权
使用数据安全中心DSC(Data Security Center)服务前,您需要先完成允许DSC访问云资源的授权。购买DSC实例后,需要对DSC进行服务关联角色AliyunServiceRoleForSDDP授权,具体内容,请参见授权DSC访问云资源。
资产发现
您购买DSC实例且完成服务关联角色授权后,会授予数据安全中心服务关联角色AliyunServiceRoleForSDDP,具有授权策略AliyunServiceRolePolicyForSDDP中的OpenAPI访问权限。DSC每日定时调用OpenAPI主动发现同账号云上资产实例及数据库。
同时支持在数据安全中心控制台的 页面单击资产授权管理,通过资产同步功能,手动触发资产发现任务,且支持指定资产类型。
账号操作
对资产实例选择一键连接授权时,DSC会调用相应云产品的账号相关OpenAPI,创建只读账号,并为该只读账号赋予对应数据库的只读权限。
白名单操作
在连接资产实例进行识别授权时,DSC一般会在资产实例中添加分组名称为ali_sddp_group
的白名单,以便DSC能获取该资产下数据库相关信息。该白名单记录的是DSC服务端的IP地址,而该IP地址会因地域而异。
反向接入授权
DSC的识别引擎位于VPC网络,管控服务位于经典网络,而数据资产实例位于售卖区,您在进行资产实例识别授权时,DSC会通过云服务反向接入功能,使DSC管控服务及引擎服务可以单向访问售卖区的资产实例。
连通性检查
您在对资产进行识别授权后,初始连接状态为连通性测试中,针对此类状态的资产,DSC管控端每30秒会进行一次网络连通性的检测,验证通过一键连接的只读账号和密码能否正常登录到数据库,如果是OSS资产,则验证资产是否存在或Bucket是否存在。如果能够正常登录到数据库或资产正常存在,则连接状态更新为已连接。否则,单次连通性检测为失败。如果连续进行10次连通性检测均为失败,则连接状态更新为连接失败。
账号清理
在您购买的DSC实例过期15天后,DSC会自动清理因一键连接产生的只读账号。
相关文档
购买DSC相关服务的具体操作,请参见购买数据安全中心。
RAM用户访问或管理数据安全中心控制台前,需要完成授权操作。具体操作,请参见为RAM用户授权DSC。
完成资产实例授权并一键连接数据库识别扫描数据资产的具体操作,请参见通用数据库授权、非结构化数据OSS授权和MaxCompute授权。