云原生通用数据库_数据安全中心(DSC)-阿里云帮助中心

购买数据安全中心DSC（Data Security Center）实例后，在使用DSC检测云产品（包括RDS、PolarDB等）中存在的敏感数据或审计数据库等功能前，您需要先开启对应功能。

本文适用的数据库范围

DSC仅支持为阿里云上的数据库资产提供数据安全服务，支持的数据库类型详情，请参见支持的数据资产类型。

参考本文接入DSC的数据库类型包括：RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、云数据库 Tair（兼容 Redis）、OceanBase。其他数据类型的操作可参考下述文档：

前提条件

已开通数据安全中心免费版实例或已购买数据安全中心付费版实例。具体操作，请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据安全中心访问云服务的授权。具体操作，请参见授权DSC访问云资源。

查看资产情况

登录数据安全中心控制台。
在左侧导航栏，选择资产中心。
在页面左侧结构化数据导航栏中，选择需要开启功能的数据类型。
说明
购买DSC实例后，首次登录控制台将自动执行云上资产列表同步任务，无需手动操作。DSC会每日零点自动扫描并同步资产列表。您也可以在左侧导航栏选择资产中心中，手动执行资产同步操作。
在资产中心页面上方查看改资产类型总资产数、功能开启情况及购买的实例数和存储数量的使用情况。
单击未开启功能下方的数字，可按该条件筛选列表信息。

开启功能

产品类型不同，支持开启的功能也不同，您可以单击对应功能的，手动开启功能。部分数据类型也支持一键开启。本文以RDS数据库为例介绍开启功能的完整流程。

支持的产品类型及功能

说明

下表用到的标识说明：

√：表示当前数据库类型支持该服务。
×：表示当前数据库类型不支持该服务。

类别	配置风险	分类分级	数据审计	检测响应	列加密	图片脱敏	支持一键开启
RDS	√	√	√	√	√	×	√ 仅支持： MySQL SQL Server（只读实例不支持） MariaDB（只读实例不支持）
PolarDB	√	√	√	√	√	×	√ 仅支持MySQL
PolarDB-X 1.0（DRDS）	√	√	√	×	×	×	√
PolarDB-X 2.0	√	√	√	×	×	×	√
Redis	√	×	×	×	×	×	×
MongoDB	√	√	√	×	×	×	×
OceanBase	√	√	√	×	×	×	×
自建数据库	×	√	√	×	×	×	×
OSS	√	√	√	√	×	√	√
SLS	√	√	×	×	×	×	√
TableStore	×	√	√	×	×	×	√
MaxCompute	√	√	√	×	×	×	√
AnalyticDB-MYSQL	√	√	√	×	×	×	×
AnalyticDB-PG	√	√	√	×	×	×	×

在页面左侧结构化数据导航栏中，选择RDS数据类型。

在列表中查看该数据类型支持的功能并开启功能。

手动开启功能

配置风险、数据审计和检测响应功能只需要单击功能对应的，等待功能开启。

分类分级

单击分类分级功能对应的。

在开启分类分级对话框中配置开启方式和授权范围。

配置项	说明
开启方式	配置您连接数据库进行数据检测的账号信息。支持两种配置方式：自动创建数据库账号：DSC会自动在目标数据资产中创建一个以`sddp_auto`开头的只读账号，通过该账号连接目标数据库进行数据识别任务。说明仅对支持一键开启功能的数据类型，可以选择此方式。手动输入账号密码：配置您连接数据库的账号密码。
授权范围	授权进行数据检测的范围。整个数据源。在数据源列表管理授权范围：选择授权范围。
自动创建系统默认任务开始扫描	选中后DSC会在数据库连接成功自动后创建默认扫描任务。您可以在分类分级 > 任务管理 > 识别任务页签中，单击系统默认任务，查看扫描任务执行情况。具体操作，请参见通过识别任务扫描敏感数据。
实例下新增数据库，自动连接	选中后DSC会在您的数据库实例中新增一个数据库，并自动连接。

分类分级功能成功开启后，您可以在开关按钮右侧查看该数据库实例已授权的数据库总数及连接情况。
1. 单击开关按钮右侧的数字。
2. 在数据库授权范围面板中，更改数据库的连接状态。

列加密
1. 单击列加密功能对应的。
2. 在加密配置面板，选择待加密的资产类型、实例名称、加密算法、加密方式、明文权限账号以及选择需要配置列加密的目标库、表和列，然后单击确定。
  您需注意以下参数配置：
  - 加密方式
    如果加密方式为KMS密钥，需提前在密钥管理服务创建对称密钥。
    重要
    完成列加密配置后，如果修改加密方式，DSC系统会重启加密任务，重启过程中原加密列数据将以明文形式存储，存在数据暴露的安全风险。建议您选择确定的加密方式，以免修改时影响数据安全性。
  - 明文权限账号
    完成加密配置后，对应数据库下所有账号都默认设置为密文权限。
    PolarDB MySQL、PolarDB PostgreSQL和RDS PostgreSQL数据库账号默认为密文权限（JDBC解密），默认访问密文数据，支持通过全密态客户端解密后访问明文数据。
    RDS MySQL数据库的加密方式为KMS密钥时，数据库账号默认为密文权限（JDBC解密）。
    RDS MySQL数据库的加密方式为本地密钥时，数据库账号默认为密文权限（无解密权限），仅支持访问密文数据。
    您可以选择加白的账号，使用明文权限直接访问加密列的明文数据。
    重要
    数据库授权接入DSC时，如果通过一键连接，会自动创建前缀为sddp_auto的数据库账号；如果通过账密连接，会在凭据中设置一个数据库账号，该数据库账号支持DSC读取数据库数据进行敏感数据分类分级扫描。因此，如果您需要继续对数据库最新数据进行敏感数据分类分级，必须设置该数据库账号为明文权限账号。
3. 开启列加密功能后，您可以在开关按钮右侧查看该数据库实例的列加密总数及已加密列情况。
  1. 单击开关按钮右侧的数字。
  2. 在编辑配置面板中，修改加密算法、配置账号权限、修改加密列等操作。具体操作，请参见配置数据库的列加密。

一键开启功能

单击支持一键开启的目标实例的操作列一键开启。
在一键开启对话框中根据实际业务需要，选中自动创建系统默认任务开始扫描和实例下新增数据库，自动连接，并单击确定。

说明

一键开启仅支持开启配置风险、分类分级、数据审计和检测响应，其他功能需要您手动开启。