部分云数据库提供了OpenAPI,允许用户创建账号并授予数据库权限。数据安全中心DSC(Data Security Center)通过资产发现,一键连接获取到资产实例及数据库,通过STS Token临时访问凭证调用云产品的OpenAPI,并建立DSC到云产品的单向访问网络,实现只读访问云数据库实例。通过只读权限,DSC可以检测并识别云数据库实例(表、Bucket)中的敏感数据,以保障数据的安全性。
一键连接说明
支持的数据资产类型:RDS、PolarDB、PolarDB-X、Redis、OSS、TableStore、MaxCompute。
账号说明:在连接过程中,DSC会自动在目标数据资产中添加只读账号,通过该账号连接目标数据库执行数据识别任务。
安全合规说明
下图所示为资产授权完整生命周期的原理图,如授权流程图示:您开启一键连接前,需要完成服务关联角色授权,阿里云将根据授权自动创建账号来识别资产,并在您的实例过期后,自动进行账号清理,且不会额外拉取和保留您的数据。
您可以使用数据安全中心扫描和识别您的数据资产,帮助您实时获取对应数据的安全状态。
服务关联角色授权
使用数据安全中心DSC(Data Security Center)服务前,您需要先完成允许DSC访问云资源的授权。购买DSC实例后,需要对DSC进行服务关联角色AliyunServiceRoleForSDDP授权,具体内容,请参见授权DSC访问云资源。
资产发现
您购买DSC实例且完成服务关联角色授权后,会授予数据安全中心服务关联角色AliyunServiceRoleForSDDP,具有授权策略AliyunServiceRolePolicyForSDDP中的OpenAPI访问权限。DSC每日定时调用OpenAPI主动发现同账号云上资产实例及数据库。
同时支持在数据安全中心控制台的资产中心页面的授权管理页签单击资产授权管理,通过资产同步功能,手动触发资产发现任务,且支持指定资产类型。
账号操作
对资产实例选择一键连接授权时,DSC会调用相应云产品的账号相关OpenAPI,创建只读账号,并为该只读账号赋予对应数据库的只读权限。
白名单操作
在连接资产实例进行识别授权时,DSC一般会在资产实例中添加分组名称为ali_sddp_group
的白名单,以便DSC能获取该资产下数据库相关信息。该白名单记录的是DSC服务端的IP地址,而该IP地址会因地域而异。
反向接入授权
DSC的识别引擎位于VPC网络,管控服务位于经典网络,而数据资产实例位于售卖区,您在进行资产实例识别授权时,DSC会通过云服务反向接入功能,使DSC管控服务及引擎服务可以单向访问售卖区的资产实例。
连通性检查
您在对资产进行识别授权后,初始连接状态为连通性测试中,针对此类状态的资产,DSC管控端每30秒会进行一次网络连通性的检测,验证通过一键连接的只读账号和密码能否正常登录到数据库,如果是OSS资产,则验证资产是否存在或Bucket是否存在。如果能够正常登录到数据库或资产正常存在,则连接状态更新为已连接。否则,单次连通性检测为失败。如果连续进行10次连通性检测均为失败,则连接状态更新为连接失败。
账号清理
在您购买的DSC实例过期15天后,DSC会自动清理因一键连接产生的只读账号。
相关文档
购买DSC相关服务的具体操作,请参见购买数据安全中心。
RAM用户访问或管理数据安全中心控制台前,需要完成授权操作。具体操作,请参见为RAM用户授权DSC。
完成资产实例授权并一键连接数据库识别扫描数据资产的具体操作,请参见通用数据库授权、非结构化数据(OSS+SLS)授权和MaxCompute授权。