部分云数据库提供了OpenAPI,允许用户创建账号并授予数据库权限。数据安全中心DSC(Data Security Center)通过资产发现,一键连接获取到资产实例及数据库,通过STS Token临时访问凭证调用云产品的OpenAPI,并建立DSC到云产品的单向访问网络,实现只读访问云数据库实例。通过只读权限,DSC可以检测并识别云数据库实例(表、Bucket)中的敏感数据,以保障数据的安全性。
若您是在2025年6月30日 18:00前购买的数据安全中心或者当前版本为企业版1.0、高级版1.0和基础版(已停止新购),以上情况请参考资产授权管理。
支持一键开启的数据资产类型
通过DSC控制台一键开启该账号下创建的数据库时,在连接过程中,DSC会自动在目标数据资产中创建一个以sddp_auto开头的只读账号,通过该账号连接目标数据库进行数据识别任务。
产品类别 | 数据资产类型 | 备注 |
RDS | MySQL | 无。 |
SQL Server | 只读实例不支持。 | |
MariaDB | 只读实例不支持。 | |
PolarDB | MySQL | 与RDS MySQL兼容性一致。 |
PolarDB-X 1.0 (DRDS) | 需配合PolarDB-X 1.0架构使用。 | |
PolarDB-X 2.0 | 只读实例不支持。 | |
对象存储 | OSS | 适用于非结构化数据。 |
NoSQL数据库 | TableStore | 适用于海量结构化数据存储。 |
大数据计算 | MaxCompute | 适用于离线批量计算场景。 |
日志服务 | SLS | 适用于日志采集、分析和监控。 |
安全合规说明
在您一键开启前,需要先完成服务关联角色授权,阿里云将根据授权自动创建账号来识别资产,并在您实例过期后,自动进行账号清理,且不会额外拉取和保留您的数据。
您可以使用数据安全中心扫描和识别您的数据资产,帮助您实时获取对应数据的安全状态。
服务关联角色授权
使用数据安全中心DSC(Data Security Center)服务前,您需要先完成允许DSC访问云资源的授权。购买DSC实例后,需要对DSC进行服务关联角色AliyunServiceRoleForSDDP授权,具体内容,请参见授权DSC访问云资源。
资产发现
您购买DSC实例且完成服务关联角色授权后,会授予数据安全中心服务关联角色AliyunServiceRoleForSDDP,具有授权策略AliyunServiceRolePolicyForSDDP中的OpenAPI访问权限。DSC每日定时调用OpenAPI主动发现同账号云上资产实例及数据库。
同时支持在数据安全中心控制台的资产中心页面单击资产同步,手动触发资产发现任务,且支持指定资产类型。
白名单操作
在资产同步后,DSC会在资产实例中添加分组名称为ali_sddp_group的白名单,以便DSC能获取该资产下数据库相关信息。该白名单记录的是DSC服务端的IP地址,而该IP地址会因地域而异。
反向接入授权
DSC的识别引擎位于VPC网络,管控服务位于经典网络,而数据资产实例位于售卖区,您在进行资产实例识别授权时,DSC会通过云服务反向接入功能,使DSC管控服务及引擎服务可以单向访问售卖区的资产实例。
连通性检查
在资产同步后,初始连接状态为连通性测试中,针对此类状态的资产,DSC管控端每30秒会进行一次网络连通性的检测,验证通过一键连接的只读账号和密码能否正常登录到数据库,如果是OSS资产,则验证资产是否存在或Bucket是否存在。如果能够正常登录到数据库或资产正常存在,则连接状态更新为已连接。否则,单次连通性检测为失败。如果连续进行10次连通性检测均为失败,则连接状态更新为连接失败。
账号清理
在您购买的DSC实例过期15天后,DSC会自动清理因一键连接产生的只读账号。
相关文档
购买DSC相关服务的具体操作,请参见购买数据安全中心。
RAM用户访问或管理数据安全中心控制台前,需要完成授权操作。具体操作,请参见为RAM用户授权DSC。