资产中心（旧版）

步骤一：资产授权

1. 登录数据安全中心控制台，在左侧导航栏，选择资产中心。

2. 在授权管理页签，单击资产授权管理进入资产授权管理页面。若未在DSC中进行过任何资产授权，系统将自动跳转至该页面。

3. 根据需要接入的资产类型，单击左侧资产列表中的对应项。

   通用资产

   DSC支持自动同步大多数数据资产类型，若未找到目标资产，请手动单击“资产同步”，随后刷新页面。

   说明

   • 自动同步：您已完成服务关联角色授权，系统已创建服务关联角色 AliyunServiceRoleForSDDP，并为其附加了授权策略 AliyunServiceRolePolicyForSDDP。DSC将在每日零点通过该角色自动调用 OpenAPI，扫描并同步同一账号下的云上资产。

   • 手动同步：可手动单击“资产同步”按钮，立即执行资产同步操作。

   未进行过资产授权（首次使用）

   勾选目标资产，单击左下角确定。

   说明

   您可通过开启目标资产数据识别与数据审计列中的开启对应功能，也可在后续步骤中进行开启。本文所述操作不在此处打开功能开关，而是在下一步骤中完成。

   已进行过资产授权

   单击目标资产操作列的授权。

   

   说明

   您可通过开启目标资产数据识别与数据审计列中的开启对应功能，也可在后续步骤中进行开启。本文所述操作不在此处打开功能开关，而是在下一步骤中完成。

   重要

   对于已授权的 SLS Project，DSC 无法统计当日的数据量，仅能统计截至前一日 24:00 的数据量。

   自建数据库

   DSC 支持接入 ECS 实例中自建的数据库，支持的数据库类型包括 MySQL、SQL Server 和 Oracle。

   1. 登录数据库，执行以下命令以创建用户并授予 DSC 访问该数据库的权限。请将命令中“允许的网段”替换为实例所在地域对应的IP段。以下示例适用于 MySQL 8.0；若使用其他数据库类型，需相应调整语法。

      CREATE USER '<用户名>'@'<允许的网段>' IDENTIFIED BY '<密码>';
      GRANT SELECT ON <数据库名>.* TO '<用户名>'@'<允许的网段>';

   2. 前往DSC资产中心控制台，单击添加资产并完成以下配置。

      配置项	说明
      数据库类型	从支持的数据库类型中进行选择。
      服务器类型	仅支持ECS资产。
      地域与实例ID	选择目标ECS实例的地域与实例ID。
      端口	填写数据库端口。
      选择权限配置项	识别：为实例开启分类分级功能，选择此项后，需要单击新增并开始配置权限。 审计：为实例开启数据审计功能。
      权限配置（选中识别时适用）	单击添加数据库及账号，输入数据库名称、连接数据库的账号名与密码，并根据账号在数据库中实际具备的访问权限设置读写或只读权限。

   ADB-PG

   AnalyticDB PostgreSQL版不支持同步资产，需要手动单击添加资产，并完成如下配置。

   配置项	说明
   所在区域	选择实例所在的地域。
   实例名称	通过实例名称选择该地域内的实例。
   数据库名称	配置需接入DSC的数据库名称。
   用户名	配置连接数据库的账号，并配置账号权限，请根据账号在数据库中实际具备的访问权限设置读写或只读权限。
   密码	配置连接数据库的密码。

资产支持开启的功能

下表列出了支持接入DSC的资产类型及其对应支持开启的功能。此外，部分地域的资产存在功能限制，完整的限制信息，请参见支持的地域。

分类分级

DSC为金融、能源、汽车等行业提供敏感数据识别模板，用于识别资产中的敏感信息，并支持对其位置、类型和敏感级别进行分类分级管理。可以通过以下步骤开启分类分级功能。

1. 在授权管理页签中，定位到目标实例。

2. 选择连接方式：DSC需要连接至数据资产以执行数据检测任务，DSC提供以下两种连接方式，不同资产类型所支持的连接方式存在差异。

   • 一键连接：DSC会在目标数据库资产中自动创建一个以 sddp_auto 开头的只读账号，并通过该账号连接数据库执行数据识别任务。对于 MaxCompute，DSC 会自动在当前 MaxCompute 项目中添加成员 yundun_sddp，并授予其 admin 角色权限。

     说明

     如您后续不再使用 DSC，系统将在 DSC 实例到期 15 天后自动清理该只读账号。

   • 账密连接：手动配置用于连接目标数据库的账号和密码。

   一键连接

   1. 单击目标资产实例操作列的一键连接。若资产实例包含多个数据库或 LogStore，可以单击实例左侧的图标，然后在相应数据库或 LogStore 操作列中单击一键连接，以连接指定的数据库或 LogStore。

   2. 在弹出的对话框中配置如下项目。

      配置项	说明
      立即扫描数据资产并进行数据识别	选中此项后，DSC会立即创建默认扫描任务。 后续可以在分类分级 > 任务管理 > 识别任务页签中，单击系统默认任务，查看或配置系统默认扫描任务。具体操作，请参见通过识别任务扫描敏感数据。
      实例下新增数据库，自动连接（仅部分数据库资产支持）	启用此选项后，DSC在执行手动或自动资产同步时，若检测到数据库实例中存在新增数据库，将自动建立连接。

   账密连接

   1. 单击目标资产实例操作列的账密连接。

   2. 在账密连接面板，单击目标数据库操作列的添加凭据。

   3. 在添加凭据面板的关联凭据方式区域，选择新建凭据并完成以下配置；若已存在可用凭据，可选择现有凭据。更多凭据操作，请参见管理账密连接凭据。

      配置项	说明
      凭据名称	输入便于识别的凭据名称。
      用户名与密码	输入连接数据库的账号名与密码。
      凭据类型	此处选择的凭据类型仅用于标识该凭据所拥有的权限，其实际权限以数据库账户管理页面中的配置为准。请根据凭据在数据库中实际具备的访问权限设置该参数。
      立即扫描数据资产并进行数据识别	选中此项后，DSC会立即创建默认扫描任务。 后续可以在分类分级 > 任务管理 > 识别任务页签中，单击系统默认任务，查看或配置系统默认扫描任务。具体操作，请参见通过识别任务扫描敏感数据。

   说明

   资产连接完成后，DSC 将在数据库资产实例中添加名为 ali_sddp_group 的白名单分组，用于授权 DSC 访问该资产下的数据库信息。该白名单包含 DSC 服务端的 IP 地址，具体地址因地域而异。

查看DSC连接状态：

开启分类分级功能后，可以单击开关按钮右侧的数字查看连接状态。初始的连接状态为连通性测试中，在此状态下，DSC 每 30 秒执行一次连通性检测：

• 对于数据库资产，验证配置的数据库账号和密码是否可正常登录；

• 对于 OSS 资产，验证指定的 Bucket 是否存在。

若检测成功（即数据库可正常登录或 OSS Bucket 存在），连接状态更新为已连接；若单次检测失败，则记录一次失败。若连续 10 次检测均失败，连接状态将更新为连接失败。

后续操作：可前往分类分级 > 资产透视页面，查看已识别的敏感信息，或前往分类分级 > 识别配置页面，配置敏感信息识别模板。更多信息，请参见敏感数据分类分级。

数据审计

• 功能介绍：高效审计数据库、OSS 等多种数据源的日志，通过内置900+高危操作规则，识别异常行为、数据泄露与SQL注入等风险。支持自定义规则、多维度日志筛选及实时告警功能。

• 如何开启：前往数据审计 > 云原生数据审计页面，在右侧开通情况区域，定位到目标资产，单击审计操作列的立即开启；也可以在资产授权时打开资产数据审计列的开关进行开启，具体信息，请参见云原生数据审计。

图片脱敏

• 功能介绍：创建图片脱敏任务，扫描目标Bucket中包含敏感信息（例如身份证号、车牌号和人脸）的图片，通过灰色矩形条遮盖的脱敏方式对图片中敏感信息进行脱敏。

• 如何开启：前往风险治理 > 图片脱敏页面，定位到目标Bucket，单击其操作列的脱敏。具体信息，请参见OSS图片脱敏。

列加密

• 功能介绍：对数据库中的特定列进行加密，防止非授权人员通过云平台软件或数据库连接工具直接获取敏感数据明文，从而有效抵御内外部安全威胁。

• 如何开启：在资产中心完成资产授权后，前往风险治理 > 列加密页面，定位到目标资产，单击其操作列的一键加密。具体信息，请参见列加密。

  重要

  执行列加密配置前，须启用数据分类分级功能，并完成数据扫描与识别。

配置风险

• 功能介绍：动态检测数据资产配置，识别阿里云上数据库、存储及大数据资产在权限管理、访问控制、加密传输和容灾备份等方面的配置风险，并持续监控其配置安全性。

• 如何开启：在资产中心完成资产授权后，前往风险治理 > 配置风险页面进行后续操作。具体信息，请参见安全基线检查。

检测响应

• 功能介绍：专注于数据泄露风险防控，可自动识别OSS文件中是否包含用户的AK、数据库连接信息等敏感内容。该服务还能检测已泄露或异常AK对文件的访问行为，以及使用泄露数据库账号进行的异常登录活动。

• 如何开启：前往数据检测响应 > 数据泄露页面进行后续操作。具体信息，请参见数据检测响应。

查看并管理授权数

完成数据库资产实例的授权操作后，将消耗一个数据库实例授权数。完成 OSS 或 SLS 资产的授权操作后，DSC 将根据其存储容量计算并扣除相应的配额。
可在资产中心页面右上角查看已使用的数据库实例授权数及存储容量。

当可用授权数不足时，可通过以下两种方式解决：

• 购买额外授权额度：进入总览页面，单击升级。在变配页面选择需扩充的授权数，并完成支付。

• 释放授权额度（取消授权）：在资产中心页面，定位到目标实例，单击其操作列的取消授权。取消授权后，该资产将不再受 DSC 保护。

关闭分类分级功能（取消连接）

如需关闭分类分级功能，可通过取消资产连接实现。操作后，该资产对应的系统默认识别任务将被删除，但已占用的授权数不会释放。

操作步骤：在资产中心页面，定位至目标实例，单击其操作列的取消连接。

管理账密连接凭据

凭据指在选择账密连接方式为资产开启分类分级功能时，所输入的数据库账号与密码。使用凭据时，建议遵循以下要求：

• 凭据隔离：为 DSC 连接数据库创建独立的凭据，不得与业务系统使用的数据库凭据共用。 

• 权限最小化：应使用只读账号作为 DSC 凭据，禁止使用最高权限账号。

• 密码安全管理：添加凭据后，密码将不可见。DSC 会对凭据密码进行加密存储，且不提供密码找回功能，请务必妥善保管。DSC 仅在访问数据库时使用该密码，不会用于其他用途。

添加凭据

可以在通过账密连接方式连接数据库时新建凭据，也可以在凭据管理页签中添加凭据。

1. 在左侧导航栏，选择总览。

2. 单击凭据管理页签，然后单击添加凭据。

3. 在添加凭据对话框，完成以下配置。

   配置项	说明
   凭据名称	输入便于识别的凭据名称。
   资产类型	选择凭据的资产类型。
   用户名与密码	输入连接数据库的账号名与密码。
   凭据类型	此处选择的凭据类型仅用于标识该凭据所拥有的权限，其实际权限以数据库账户管理页面中的配置为准。请根据凭据在数据库中实际具备的访问权限设置该参数。

4. 关联资产。

   1. 单击目标凭据操作列的关联资产，并在关联资产面板新增并选择需关联的数据库，单击关联。

   2. 在是否扫描新增数据资产中的敏感数据？对话框，选择确定或取消。

      • 确定：立即执行系统默认识别任务。

      • 取消：仅创建系统默认识别任务，需要在分类分级 > 任务管理 > 识别任务页签中，单击系统默认任务，手动开启系统默认识别任务。

修改凭据

在凭据管理页签下单击目标凭据操作列的编辑，修改凭据的名称、用户名、密码或凭据类型。

修改凭据后，DSC会立即使用修改后的凭据连接数据库。

删除凭据

删除凭据前，需要先取消凭据和数据库的关联关系。

1. 在凭据管理页签下，单击目标凭据操作列的关联资产。

2. 单击已关联，选中所有已关联的数据库，并单击取消关联。

3. 返回凭据管理页签，单击目标凭据操作列的删除，删除该凭据。

DSC访问数据库使用的IP段