通用数据库授权

购买数据安全中心DSC(Data Security Center)实例后,在使用DSC检测云产品(包括RDS、PolarDB等)中存在的敏感数据或审计数据库活动前,您需要先完成资产实例授权。

本文适用的数据库范围

DSC仅支持为阿里云上的数据库资产提供数据安全服务,支持的数据库类型详情,请参见支持的数据库类型

本文以RDS数据库为例介绍授权和接入的完整流程,可参考本文接入DSC的数据库类型包括:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG。其他类型数据库的授权操作可参考下述文档:

前提条件

步骤一:资产实例授权

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择资产中心 > 授权管理

  3. 授权管理页签,单击资产授权管理

  4. 资产授权管理面板左侧产品名称导航栏,单击RDS

  5. (可选)在资产授权管理面板,单击资产同步

    购买DSC实例后,首次登录控制台会立即执行云上资产列表同步任务,此时无需执行资产同步操作。后续新增的数据资产DSC会每天凌晨进行扫描并自动同步到对应资产的未授权列表中。如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。

  6. 单击目标资产操作列的授权

    需要批量授权时,选中目标资产,并单击批量授权

步骤二:连接数据库

数据库连接方式说明

DSC通过收集和分析数据库中存储的数据、数据库活动,提供数据的分类分级、数据审计、安全态势监控、数据脱敏等能力。DSC需要连接您的数据库,才能实现相应能力。DSC支持使用一键连接和账密连接两种方式连接数据库。

连接类型

说明

支持的数据资产类型

一键连接

通过控制台按钮一键连接数据库。

在连接过程中,DSC会自动在目标数据资产中添加只读账号,通过该账号连接目标数据库进行数据识别任务;由于该账号仅具有只读权限,一键授权的数据库无法成为脱敏任务的目标数据库。

RDS、PolarDB、PolarDB-X(原DRDS)、Redis、OSS、TableStore、MaxCompute

账密连接

通过手工输入数据库的账号、密码连接数据库。

  • 通过只读账号进行数据库连接后,该数据库可正常进行敏感数据识别、脱敏及审计任务,但无法作为脱敏任务的目标数据库;

  • 通过支持读写的账号进行数据库连接后,该数据库可作为脱敏任务的目标数据库来存储脱敏后的数据。

  • 结构化数据:

    RDS、PolarDB、PolarDB-X(原DRDS)、PolarDB-X 2.0、MongoDB、OceanBase、自建数据库

  • 大数据:

    ADB-MySQL、AnalyticDB for PostgreSQL(即ADB-PG)

您可以根据上表中对应数据库支持的连接方式和数据安全需求,选择合适的连接方式。

  • 如果您的数据库类型支持一键连接,且您没有将当前数据库作为脱敏任务目标数据库的需求,建议您使用一键连接方式。

  • 如果需将数据库作为脱敏任务的目标库,您必须要选择账密连接方式,并使用具有读写权限的账号连接数据库。

下述内容以RDS实例为例,分别介绍一键连接和账密连接的操作步骤。

一键连接

执行一键连接操作后,DSC会自动创建并立即执行系统默认识别任务。识别任务会读取数据库中的数据,消耗数据库读性能,建议您在业务低峰期执行一键连接操作。

  1. 返回授权管理页面,单击目标资产实例操作列的一键连接

    • 首次连接资产实例中的数据库时,DSC会在该资产中添加名称为ali_sddp_group的白名单,以便DSC能获取该资产下数据库相关信息。该白名单加白的是DSC服务端的IP地址。该IP地址因地域不同而不同。

      image

    • 执行一键连接操作后,DSC会自动在当前资产下创建一个对该数据库具有只读权限的账号,该账号前缀为sddp_auto。

  2. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    image

账密连接

选择账密连接方式时,建议您遵循权限最小化原则使用独立的数据库账号和密码(即凭据),请勿使用业务账号或最高权限账号。

  1. 返回授权管理页面,单击目标资产实例操作列的账密连接

  2. 账密连接面板,单击目标数据库操作列的添加凭据

  3. 添加凭据对话框,选择凭据,保持选中或取消选中立即扫描数据资产并进行数据识别,单击确定

    • 关于凭据管理的更多信息,请参见凭据管理

    • 如果您评估连接数据库的时刻为数据库业务低峰期,可以选中立即扫描敏感数据;否则,请取消选中立即扫描敏感数据。取消选中时,DSC会先创建一个系统默认识别任务,并在次日凌晨执行这个任务。

    首次通过账密连接的方式连接该资产中的数据库时,DSC会在该资产中添加名称为ali_sddp_group的白名单,以便DSC能获取该资产下数据库相关信息。该白名单加白的是DSC服务端的IP地址。该IP地址因地域不同而不同。

    image

  4. 单击数据库实例左侧的展开图标图标,查看数据库的连接状态和功能状态。

    image

后续步骤

一键连接数据库成功后,DSC会自动创建系统默认任务。

  • 如果一键连接时选中了立即扫描数据库资产并进行数据识别,会立即执行对应系统默认任务。

  • 如果一键连接时未选中立即扫描数据库资产并进行数据识别,您可以前往数据洞察 > 任务管理页面的识别任务页签,在系统默认任务列表中执行重扫操作,手动执行系统默认任务。

    说明

    仅企业版支持执行重扫操作,基础版不支持。

系统默认任务会使用主用模板(默认为互联网行业分类分级模板)+通用模板(符合个人信息安全规范)扫描已接入的数据资产。您可以通过查看识别任务的状态,来确认系统识别任务的完成时间。

  1. 查看系统默认任务完成时间。具体操作,请参见查看系统默认任务

  2. 查看数据分类分级识别结果。具体操作,请参见查看敏感数据识别结果

相关文档