文档

开通数据检测响应服务

更新时间:

数据检测响应服务是数据安全中心 DSC(Data Security Center)的增值服务,需要开通购买足量的OSS防护量后,才能检测目标Bucket文件是否包含阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息,以及检测已泄露或异常AK访问已授权Bucket和文件的风险行为。本文介绍数据检测响应服务的计费规则和购买方法。

前提条件

如果使用RAM用户开通数据检测响应服务,需要授予RAM购买、续费、退订数据安全中心实例的系统权限策略AliyunBSSOrderAccess和AliyunBSSRefundAccess,以及用户管理或访问数据安全中心控制台的系统权限策略AliyunYundunSDDPFullAccess。具体操作,请参见为RAM用户授权

背景信息

AK泄露检测和发现告警事件的工作原理,请参见什么是数据检测响应

计费说明

数据检测响应服务采用包年包月模式计费,计费组成、计费项、计费规则以及提供的免费资源规格等详细说明,请参见计费概述

开通7天免费试用

试用对象

  • 如果是从未购买过数据安全中心的新用户,可以直接申请免费试用数据安全中心服务,可以使用数据安全中心的所有功能。具体操作,请参见开通7天免费试用

  • 如果是已购买DSC基础版或企业版,但从未购买过数据检测响应服务的用户,同时满足以下要求,可参考本文开通7天免费试用数据检测响应服务。

    • 当前账号必须是企业认证的阿里云账号或RAM用户。

    • 当前账号还未申请过免费试用数据检测响应服务。

      每个阿里云账号只能申请一次7天免费试用数据检测响应服务,RAM用户申请试用相当于阿里云账号申请试用。

免费资源规格

免费试用默认为您开通1 TB的OSS防护容量,200 GB的日志存储容量。

免费申请步骤

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > OSS泄露(AK场景)

  3. 单击限时免费体验

    image

  4. 根据页面提示信息,填写申请表单,然后单击提交

    image

申请免费试用的审核通过后,系统会根据您填写的手机号或钉钉号,发送一条申请通过的消息,并提供免费试用的控制台链接。您需要使用该链接登录数据安全中心控制台使用数据检测响应服务。

试用结束说明

试用7天结束后,已经授权、检测的数据和配置仍会被保留。但数据检测响应的功能页面会关闭,重新提示您升级购买数据检测响应服务。

image

成功购买数据检测响应服务后,才可正常查看和使用试用期的数据和配置,且后续使用将按正常逻辑计费。

购买并开通数据检测响应服务

您可以根据以下场景参考对应操作步骤,购买数据检测响应增值服务。

首次开通DSC并购买增值服务

  1. 访问数据安全中心购买页,并登录您的阿里云账号。

  2. 选择版本。

    您可以选择企业版基础版仅采购增值服务。版本说明,请参见购买数据安全中心

  3. 选择增值模块检测响应开启

    开启后每月将赠送您1 TB的OSS的防护量。

  4. 选择您需要购买的检测响应-OSS防护量,单位为TB。

    不同规格的防护量定价各不相同,您可以根据所需的防护检测OSS数据容量,扣除每月免费赠送的1 TB后,购买适用的OSS防护量。OSS防护量的定价说明,请参见计费概述

  5. 选择购买时长

  6. 单击立即购买,根据页面提示完成支付。

  7. 完成购买后,如果是首次登录数据安全中心控制台,概览页面会提示您执行云资源授权的流程。完成授权后,DSC实例才能访问OSS云服务的资源,并对这些云资源进行敏感数据扫描和分析等操作。

    具体内容,请参见授权DSC访问云资源

购买DSC基础版或企业版后升级购买增值服务

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > OSS泄露(AK场景)

  3. 单击立即升级

  4. 在变配页面,开启增值模块检测响应并选购检测响应-OSS防护量

    数据检测响应服务需要使用数据审计服务,如果当前DSC是基础版,建议您升级为企业版,购买足够的日志存储容量。

  5. 选择购买时长

  6. 单击立即购买,根据页面提示完成支付。

后续操作

开通服务并完成授权后,您可参考以下使用流程,进行AK泄露检测和异常AK访问检测。

  1. 完成相关准备工作。

    • DSC提供OSS同步配置功能,可将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中。为了方便后续根据文件敏感等级标签管控对应文件的访问权限,推荐您启用OSS同步配置功能。具体操作,请参见同步敏感等级标签至OSS文件

    • 对于未处理的AK泄露事件,DSC提供告警通知能力,您可以根据需要,设置邮箱或短信通知方式接收AK泄露告警通知。具体操作,请参见设置异常AK访问告警通知

  2. 授权待检测的OSS Bucket和录入待跟踪访问记录的AK信息。具体操作,请参见OSS授权和AK情报录入

  3. 从开通数据检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见识别任务说明

  4. 查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警

  5. 根据已定位分析的AK泄露信息和异常访问行为,选择对应的措施处理AK泄露问题并治理Bucket和文件的访问策略。具体操作,请参见处理AK泄露和异常访问告警