购买数据安全中心DSC(Data Security Center)实例后,在使用DSC检测MaxCompute中存在的敏感数据或监控数据表异常操作前,您需要先完成资产实例授权。
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心付费版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据安全中心访问云服务的授权。具体操作,请参见授权DSC访问云资源。
步骤一:在MaxCompute项目中添加DSC访问数据的子账号
授权MaxCompute数据库前,您需要将DSC访问数据的子账号添加到目标MaxCompute项目中,并授予admin权限。
使用具备Super_Administrator权限的账号,在MaxCompute客户端执行以下命令,添加账号yundun_sddp并为该账号授予admin权限,允许数据安全中心访问读取MaxCompute项目内的数据。
有关Super_Administrator角色权限的说明和使用,请参见内置角色说明和RAM权限。为阿里云账号授权的具体操作,请参见ACL权限控制。连接至MaxCompute客户端的具体操作,请参见选择连接工具。
以下命令中的
project_name需替换为真实的MaxCompute项目名称。use project_name; add user aliyun$yundun_sddp; grant admin to aliyun$yundun_sddp;执行以上命令后返回OK,表示授权成功。配置生效需要一些时间,请您耐心等待。
如果您配置了MaxCompute白名单功能,需要执行以下命令将DSC服务IP地址添加到MaxCompute IP白名单中。如果您未配置MaxCompute白名单功能,则无需执行下述命令。
您可以执行
setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,<IP网段> odps.security.vpc.whitelist=<VPC实例ID>; //11.193.236.0/24,11.193.64.0/24,<IP网段>是DSC服务使用的经典网络IP段,必须配置; //VPC实例ID需要替换为您的MaxCompute项目所在地域的VPC实例ID。地域和VPC实例ID、IP网段的对应关系详见以下表格。地域
地域ID
VPC实例ID
IP网段
华北3(张家口)
cn-zhangjiakou
vpc-8vbvzdb5egltk0yexldhs
47.92.198.0/24
华北2(北京)
cn-beijing
vpc-2zess7v6iegn01fy432e4
47.94.162.0/24
华南1(深圳)
cn-shenzhen
vpc-wz995reiv7uropgo6bd8f
47.107.126.0/24
华东2(上海)
cn-shanghai
vpc-uf6r63271gabvtahlh6w7
101.132.115.0/24
华东1(杭州)
cn-hangzhou
vpc-bp1h80dnzbway3nckavj4
118.31.7.0/24
西南1(成都)
cn-chengdu
vpc-2vcjetax6t3tfrb3zwzhv
47.109.105.0/24
华北1(青岛)
cn-qingdao
vpc-m5ec3lpwkxfydz19ynh3s
47.104.137.0/24
华北5(呼和浩特)
cn-huhehaote
vpc-hp3gpc5pckssp3h4ptqhe
39.104.60.0/24
中国香港
cn-hongkong
vpc-j6cem0kl1zs9wz5tjkpez
47.244.246.0/24
新加坡
ap-southeast-1
vpc-t4nabu5ninmsubrbxn51z
47.241.177.0/24
印度尼西亚(雅加达)
ap-southeast-5
vpc-k1a2u6xg9kd1l9wlr3hdi
147.139.163.0/24
马来西亚(吉隆坡)
ap-southeast-3
vpc-8ps2eulwxhwd93txl87gj
47.254.216.0/24
华东2 金融云(上海)
cn-shanghai-finance-1
vpc-zm0cph8eb5lj8ulbjd5fg
139.224.122.0/24
华南1 金融云(深圳)
cn-shenzhen-finance-1
vpc-j5enthk830u0uo0djwf5q
112.74.241.0/24
华东1 金融云(杭州)
cn-hangzhou-finance
vpc-bp1h80dnzbway3nckavj4
vpc-bp1w4mgfezh2zjrix02cv
118.31.7.0/24
47.96.56.0/24
华北2 阿里政务云
cn-north-2-gov-1
vpc-9dpf9bp63v1imf4kdx77i
39.107.178.0/24
设置白名单后,您需要等待5分钟再进行授权。
步骤二:资产实例授权
登录数据安全中心控制台。
在左侧导航栏,选择。
在授权管理页签左侧产品名称导航栏,单击MaxCompute。
单击资产授权管理。
(可选)在资产授权管理面板,单击资产同步。
购买DSC实例后,首次登录控制台会立即自动同步云上数据资产列表,此时无需执行资产同步操作。对于后续新增的数据资产,DSC会每天凌晨进行扫描并自动同步到对应资产的未授权列表中。如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。
在未授权列表中,单击目标资产操作列的授权。
您也可以选中多个目标资产前的复选框,然后单击批量授权。
重要需要批量授权时,请确保已将DSC数据访问子账号添加到多个目标MaxCompute项目中。
步骤三:一键连接MaxCompute
返回授权管理页签,单击目标MaxCompute操作列的一键连接。
(可选)在一键连接对话框,选中立即扫描数据库资产并进行数据识别。
在一键连接对话框,单击确定。
连接状态列显示已连接时,表示连接成功。此时功能状态列显示绿色,表示已开启敏感数据识别(
)和数据脱敏(
)功能。您可以单击修改,关闭敏感数据识别或数据脱敏功能。
后续操作
一键连接MaxCompute成功后,DSC会自动创建系统默认任务。
如果一键连接时选中了立即扫描数据库资产并进行数据识别,会立即执行对应系统默认任务。
如果一键连接时未选中立即扫描数据库资产并进行数据识别,您可以前往页面的识别任务页签,在系统默认任务列表中执行重扫操作,手动执行系统默认任务。
重要仅企业版支持执行重扫操作,基础版不支持。
系统默认任务支持自定义重扫时间点与扫描周期,具体操作,请参见调整系统默认任务扫描设置。
系统默认任务会使用主用模板(默认为互联网行业分类分级模板)和通用模板(符合个人信息安全规范)扫描已接入的MaxCompute数据资产。您可以通过查看识别任务的状态,来确认系统识别任务的完成时间。
查看系统默认任务完成时间。具体操作,请参见查看系统默认任务。
查看数据分类分级识别结果。具体操作,请参见查看敏感数据识别结果。