企业管理员使用数据域可以基于业务属性、组织架构、数据特征等维度对数据资产进行分类管理。通过将拥有共同属性的数据资产集中到同一个数据域中,管理员可以高效管理数据资产及资产中的敏感数据。本文介绍如何使用数据域功能分类管理资产。
应用场景
企业中有较多的数据资产,分别属于不同的部门,需要按部门划分资产,以便数据管理员高效管理。
需要将数据资产划分给不同的数据管理员。数据管理员只能管理权限范围内的资产,从而实现对数据资产管理权限的控制。
前提条件
已完成数据资产实例授权。具体操作,请参见资产授权。
如果是RAM用户,需要已具有AliyunYundunSDDPFullAccess权限。授权的具体操作,请参见为RAM用户授权DSC。
背景信息
数据安全中心DSC(Data Security Center)提供默认数据域,默认包含已授权的所有数据资产,阿里云账号和具有AliyunYundunSDDPFullAccess权限的RAM用户默认可以管理全部数据域及资产。如果需要划分不同资产并指定对应数据管理员,您可以:
创建自定义的数据域,将资产归类并添加至自定义数据域,然后按数据域查看资产的敏感数据识别结果。具体操作,请参见查看敏感数据识别结果。
指定RAM用户只能管理指定的自定义数据域及其下资产,实现对不同类型资产的精细化管理。
使用限制
一个数据资产只能划分至一个数据域。
未添加至任何自定义数据域的资产都属于默认数据域。
添加自定义数据域分类管理资产
添加数据域前,建议您根据业务单元或组织架构等规划需要添加的数据域名称和层级关系(最多支持创建三级数据域),然后执行以下步骤添加自定义数据域、设置层级关系以及分类数据资产。
您可以根据添加或调整的数据域、资产的规模大小,选择以下方式管理数据域及其下资产。
单个管理数据域并添加资产
步骤一:添加数据域
- 登录数据安全中心控制台。
在左侧导航栏,选择。
在自定义数据域右侧,单击添加。
在添加数据域对话框,填写数据域名称和描述信息,然后单击确定。
选择以下方式添加多个数据域并调整层级关系。
重复以上步骤,先添加多个数据域,然后通过拖拽数据域名称改变数据域的位置、调整数据域的层级关系。
将鼠标指针移动至已添加数据域右侧的资产数字处,单击管理
图标,选择以下操作。添加子节点:在当前数据域下创建子级数据域,最多支持创建三级数据域。
添加同级节点:添加同级数据域。
步骤二:为数据域添加资产
参考以下步骤为自定义数据域添加资产。
直接在目标自定义数据域添加数据资产
仅可选择默认数据域下的数据资产。
在左侧数据域列表,单击要添加资产的数据域名称。
单击添加资产。
在添加数据资产面板,选择需要添加的资产,然后单击确定。
将其他数据域的数据资产移动到目标数据域
在左侧数据域列表,单击要移动资产所属数据域名称。
在资产列表,找到待移动的资产,单击操作列的移动。
您也可以选中多个待移动资产,单击列表下方的批量移动。
在弹出的对话框中,单击数据域下拉列表,选择目标数据域名称,然后单击确定。
更多操作
如果需要修改或删除数据域,您可以参考以下步骤操作。
在左侧导航栏,选择。
在数据域配置页面,将鼠标指针移动至目标数据域右侧的资产数字处,单击管理
图标,选择以下操作。修改数据域:修改数据域的名称和描述。
删除:删除当前数据域。对于存在子数据域的数据域,您需要先删除子数据域才能删除该数据域。删除数据域后,数据域中的资产将被自动移动到默认数据域中。
批量管理数据域并添加资产
通过下载并修改数据域模板文件(数据安全中心数据域模板.xlsx),快速管理数据域及其下资产。
数据域文件解析说明
上传数据域模板文件后,DSC会按照表格从上向下的顺序解析数据域和资产信息,下面的配置信息会覆盖上面的配置信息。
遵循一个资产只能属于一个数据域的原则:
如果在相同的数据域下,包含不同的资产实例,则资产实例会叠加到该数据域下。
如果在不同的数据域下,有相同的资产实例,则该资产实例最终会移动到下面的数据域中。
如果在修改文件时,遗漏了某个资产实例,该资产实例将保持在当前所属的数据域中不变。
例如:
在表格上方添加一个自定义数据域并添加相应的资产实例,如果下方的默认数据域中出现相同的资产实例,则上传文件后,仅添加自定义数据域成功,但对应资产实例仍然在默认数据域中。
删除表格上方已有的一个自定义数据域及其资产实例,但没有在下方的默认数据域中新增对应的资产实例,则上传文件后,该自定义数据域和资产实例保持不变,不会被删除。
上传数据安全中心数据域模板
- 登录数据安全中心控制台。
在左侧导航栏,选择。
在数据管理页面,单击右上角的批量管理。
在批量管理对话框,单击数据安全中心数据域模板.xlsx下载模板。
模板样式如下图所示,包含列有:一级数据域、二级数据域、三级数据域、实例名、实例类型和实例区域,并且输出当前数据域及资产信息。如果已有自定义数据域,默认自定义数据域信息在上,默认数据域信息在下。如果已有数据域下资产为0,则不在表格输出。
按照上文的数据域文件解析说明修改数据域及其下资产信息,然后保存。
例如:
添加数据域及资产:可在待添加资产信息所在表格行直接修改一级数据域列的值(例如默认数据域)为自定义数据域名称,并可根据需要在二级数据域、三级数据域列输入子数据域名称。
删除一级自定义数据域:在该数据域对应资产所在行,修改对应的一级数据域列的值为默认数据域,如果包含子数据域,还需删除二级数据域、三级数据域列的值。
在批量管理对话框,单击导入本地文件,导入修改后的模板文件,然后单击确定。
完成添加自定义数据域及其下资产后,数据域名称右侧的数字代表该数据域及其子数据域下的总资产数量。
授权RAM用户仅管理指定的自定义数据域
以下是数据域相关权限策略的说明:
权限策略 | 说明 |
AliyunYundunSDDPFullAccess | 拥有数据安全中心服务的所有权限。包括数据域管理的权限,拥有该权限的RAM用户可以执行数据域支持的所有操作。 |
AliyunYundunSDDPReadOnlyAccess | 拥有数据安全中心服务的只读权限。拥有该权限的RAM用户只能查看所有数据域,无法对数据域进行其他操作,例如编辑数据域、删除数据域、移动资产等。 |
AliyunYundunSDDPDataManager | 拥有数据安全中心数据域管理权限。 授予RAM用户该权限后,在数据安全中心控制台同步该用户信息,设置RAM用户可以管理的数据域范围后,RAM用户可以查看并管理(执行修改数据域、添加资产、移动资产等操作)权限范围内的数据域资产。 |
一个阿里云账号可以创建多个RAM用户,您可以为指定的RAM用户授予AliyunYundunSDDPDataManager权限,并使用同步用户功能将RAM用户同步到数据安全中心控制台,作为自定义数据域管理员。您可以配置指定的RAM用户只能查看权限范围内的数据域下的资产,执行修改数据域、添加资产、移动资产等操作,且只能将资产移动到权限范围内的数据域下。
目前,该功能设置仅作用在数据域管理功能上,具有AliyunYundunSDDPFullAccess权限的RAM用户在使用DSC的数据洞察、数据审计、数据脱敏等功能时,仍然能查看到所有数据资产。
目前,仅支持通过授予RAM用户AliyunYundunSDDPDataManager权限,来查看和管理指定的自定义数据域及其下资产;不支持配置RAM用户只查看(不管理)指定的自定义数据域及资产。如果仅授予RAM用户AliyunYundunSDDPReadOnlyAccess权限,是只可以查看所有数据域的。
步骤一:同步RAM用户信息
被同步的RAM用户必须具备AliyunYundunSDDPFullAccess权限。
被同步的RAM用户在页面,只能管理已授权的自定义数据域及其下资产。
- 在数据管理页面,单击数据管理员页签。
如果已有RAM用户不符合业务需求或需要更多RAM用户,可以单击新建用户,参考以下操作,新建RAM用户。
在新建用户面板,单击RAM控制台。
在RAM控制台创建用户页面,填写用户信息,然后单击确定。有关创建用户的具体操作,请参见创建RAM用户。
返回数据安全中心控制台,在新建用户面板,单击新建完成。
为RAM用户授予DSC数据域管理权限。
在RAM控制台用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限。具体操作,请参见为RAM用户授权。
您需要将系统策略选择为AliyunYundunSDDPDataManager。如果RAM用户还未被授予AliyunYundunSDDPFullAccess权限,您还需要选择AliyunYundunSDDPFullAccess。
返回数据安全中心控制台的页面的数据管理员页签下,单击同步用户。
DSC会将当前阿里云账号下所有已授予AliyunYundunSDDPDataManager权限的RAM用户同步到数据管理员列表中。
步骤二:为RAM用户设置可管理的数据域
同步用户后,您需要为RAM用户设置可管理的自定义数据域范围。
在数据管理员页签,单击目标RAM用户操作列的编辑可管理数据域。
在编辑可管理的数据域面板,选中需要管理的数据域,然后单击确定。
相关文档
有关RAM用户及其授权的详细内容,请参见创建RAM用户并授权。
您可以通过数据域查看扫描识别的敏感数据和敏感等级等。具体内容,请参见查看敏感数据识别结果。
配置识别任务时,可以从数据域维度设置任务的作用域。具体内容,请参见自定义识别任务。
报表中心也提供了数据域维度的敏感数据分析,具体内容,请参见查看报表。