数据检测响应服务是数据安全中心 DSC(Data Security Center)的增值服务,需要开通购买足量的OSS防护量后,才能检测目标Bucket文件是否包含阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息,以及检测已泄露或异常AK访问已授权Bucket和文件的风险行为。本文介绍数据检测响应服务的计费规则和购买方法。
前提条件
如果使用RAM用户开通数据检测响应服务,需要授予RAM购买、续费、退订数据安全中心实例的系统权限策略AliyunBSSOrderAccess和AliyunBSSRefundAccess,以及用户管理或访问数据安全中心控制台的系统权限策略AliyunYundunSDDPFullAccess。具体操作,请参见为RAM用户授权。
背景信息
AK泄露检测和发现告警事件的工作原理,请参见什么是数据检测响应。
计费说明
计费方式
数据检测响应采用包年包月模式计费。包年包月的资源计费周期为订单的购买周期(以UTC+8时间为准),一个计费周期的起点为开通或续费资源的时间(精确到秒),终点为到期日的次日零点(00:00:00)。
计费组成
数据检测响应的计费分为:启用检测响应服务费用(3888/月)+OSS防护量费用。
数据检测响应服务是增值服务,授权连接的OSS资产与DSC资产中心授权连接的OSS资产没有任何关联,在数据检测响应服务中单独授权和计费。
不同规格范围的OSS防护量定价不同。详细说明,请参见计费概述。开通数据检测响应服务后的首月,会免费赠送1 TB的OSS防护量。
抵扣规则
按照数据检测响应已授权连接的OSS Bucket文件大小抵扣OSS防护量。
相关服务计费项
在数据检测响应服务授权连接的OSS资产使用数据审计服务时,会使用日志存储容量,该容量直接使用已购买的DSC企业版实例中的日志存储容量。在开通数据检测响应服务后,每月针对已购买的OSS防护量,每TB OSS防护量会赠送200 GB日志存储容量。
扩容与续费
开通数据检测响应服务后,您可在页面右上方的授权统计区域,查看已使用OSS防护量。
如果剩余可用资源不足,您需要对OSS防护量进行扩容。
如果使用数据审计服务的日志存储容量不足,还需要扩容日志存储容量。
如果服务到期且需要继续使用,需在到期后的15天内,完成续费。
扩容和续费的详细说明,请参见扩容和续费说明。
购买并开通数据检测响应服务
访问数据安全中心购买页,并登录您的阿里云账号。
选择版本。
您可以选择企业版、基础版或仅采购增值服务。版本说明,请参见购买数据安全中心。
选择增值模块的检测响应为开启。
开启后每月将赠送您1 TB的OSS的防护量。
选择您需要购买的检测响应-OSS防护量,单位为TB。
不同规格的防护量定价各不相同,您可以根据所需的防护检测OSS数据容量,扣除首月免费赠送的1 TB后,购买适用的OSS防护量。OSS防护量的定价说明,请参见计费概述。
选择购买时长。
单击立即购买,根据页面提示完成支付。
完成购买后,如果是首次登录数据安全中心控制台,概览页面会提示您执行云资源授权的流程。完成授权后,DSC实例才能访问OSS云服务的资源,并对这些云资源进行敏感数据扫描和分析等操作。
具体内容,请参见授权DSC访问云资源。
后续操作
开通服务并完成授权后,您可参考以下使用流程,进行AK泄露检测和异常AK访问检测。
完成相关准备工作。
DSC提供OSS同步配置功能,可将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中。为了方便后续根据文件敏感等级标签管控对应文件的访问权限,推荐您启用OSS同步配置功能。具体操作,请参见同步敏感等级标签至OSS文件。
对于未处理的AK泄露事件,DSC提供告警通知能力,您可以根据需要,设置邮箱或短信通知方式接收AK泄露告警通知。具体操作,请参见设置异常AK访问告警通知。
授权待检测的OSS Bucket和录入待跟踪访问记录的AK信息。具体操作,请参见OSS授权和AK情报录入。
从开通数据检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见识别任务说明。
查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警。
根据已定位分析的AK泄露信息和异常访问行为,选择对应的措施处理AK泄露问题并治理Bucket和文件的访问策略。具体操作,请参见处理AK泄露和异常访问告警。