购买数据安全中心DSC(Data Security Center)实例后,在使用DSC检测云产品(包括RDS、PolarDB等)中存在的敏感数据或审计数据库等功能前,您需要先开启对应功能。
本文适用的数据库范围
DSC仅支持为阿里云上的数据库资产提供数据安全服务,支持的数据库类型详情,请参见支持的数据资产类型。
参考本文接入DSC的数据库类型包括:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、云数据库 Tair(兼容 Redis)、OceanBase。其他数据类型的操作可参考下述文档:
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心付费版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据安全中心访问云服务的授权。具体操作,请参见授权DSC访问云资源。
查看资产情况
登录数据安全中心控制台。
在左侧导航栏,选择资产中心。
在页面左侧结构化数据导航栏中,选择需要开启功能的数据类型。
说明购买DSC实例后,首次登录控制台将自动执行云上资产列表同步任务,无需手动操作。DSC会每日零点自动扫描并同步资产列表。您也可以在左侧导航栏选择资产中心中,手动执行资产同步操作。
在资产中心页面上方查看改资产类型总资产数、功能开启情况及购买的实例数和存储数量的使用情况。
单击未开启功能下方的数字,可按该条件筛选列表信息。
开启功能
产品类型不同,支持开启的功能也不同,您可以单击对应功能的
,手动开启功能。部分数据类型也支持一键开启。本文以RDS数据库为例介绍开启功能的完整流程。
在页面左侧结构化数据导航栏中,选择RDS数据类型。
在列表中查看该数据类型支持的功能并开启功能。
手动开启功能
配置风险、数据审计和检测响应功能只需要单击功能对应的
,等待功能开启。分类分级
单击分类分级功能对应的
。在开启分类分级对话框中配置开启方式和授权范围。
配置项
说明
开启方式
配置您连接数据库进行数据检测的账号信息。支持两种配置方式:
自动创建数据库账号:DSC会自动在目标数据资产中创建一个以
sddp_auto开头的只读账号,通过该账号连接目标数据库进行数据识别任务。说明仅对支持一键开启功能的数据类型,可以选择此方式。
手动输入账号密码:配置您连接数据库的账号密码。
授权范围
授权进行数据检测的范围。
整个数据源。
在数据源列表管理授权范围:选择授权范围。
自动创建系统默认任务开始扫描
选中后DSC会在数据库连接成功自动后创建默认扫描任务。
您可以在页签中,单击系统默认任务,查看扫描任务执行情况。具体操作,请参见通过识别任务扫描敏感数据。
实例下新增数据库,自动连接
选中后当DSC进行手动或自动资产同步后,检测到您的数据库实例中存在新增数据库,会自动连接。
分类分级功能成功开启后,您可以在开关按钮右侧查看该数据库实例已授权的数据库总数及连接情况。
单击开关按钮右侧的数字。
在数据库授权范围面板中,更改数据库的连接状态。选中目标数据库并单击批量取消后,将取消DSC对数据库的授权。
列加密
单击列加密功能对应的
。在加密配置面板,选择待加密的资产类型、实例名称、加密算法、加密方式、明文权限账号以及选择需要配置列加密的目标库、表和列,然后单击确定。
您需注意以下参数配置:
如果加密方式为KMS密钥,需提前在密钥管理服务创建对称密钥。
重要完成列加密配置后,如果修改加密方式,DSC系统会重启加密任务,重启过程中原加密列数据将以明文形式存储,存在数据暴露的安全风险。建议您选择确定的加密方式,以免修改时影响数据安全性。
开启列加密功能后,您可以在开关按钮右侧查看该数据库实例的列加密总数及已加密列情况。
单击开关按钮右侧的数字。
在编辑配置面板中,修改加密算法、配置账号权限、修改加密列等操作。具体操作,请参见配置数据库的列加密。
一键开启功能
单击支持一键开启的目标实例的操作列一键开启。
在一键开启对话框中根据实际业务需要,选中立即扫描数据资产并进行数据识别和实例下新增数据库,自动连接,并单击确定。
说明一键开启仅支持开启配置风险、分类分级、数据审计和检测响应,其他功能需要您手动开启。