通过使用阿里云数据安全中心DSC(Data Security Center)多账号统一管理功能,企业能够将其管理的多个阿里云账号中的数据资产、数据对象和审计日志进行集中管理。便于企业有效地执行数据安全管理任务,如自动发现敏感数据、数据分类分级、以及对潜在安全威胁的监测和报警。本文介绍如何使用多账号统一管理功能。
使用须知
使用多账号统一管理功能的阿里云账号和被管理的阿里云账号必须同属于一个资源目录,且必须为同一个企业实名认证主体。
购买DSC实例说明:
资源目录管理账号购买DSC:可通过在数据安全中心控制台添加未购买DSC的成员账号,实现统一管理对应账号下的数据资源。即执行步骤二:在数据安全中心添加成员账号。
资源目录成员账号购买DSC:您需要使用管理账号将购买DSC的成员账号添加为可信服务数据安全中心的委派管理员;再使用购买DSC的成员账号将需要管理的阿里云账号添加为数据安全中心成员账号。即执行步骤一:设置数据安全中心委派管理员和步骤二:在数据安全中心添加成员账号。
已购买DSC实例的成员账号不支持被加入数据安全中心成员账号。
已被资源目录管理账号或委派管理员账号加入数据安全中心成员账号的阿里云账号,不支持购买或使用数据安全中心。
功能使用限制
不支持被加入数据安全中心成员账号的数据资产使用流量采集(Agent)审计模式。
不支持被加入数据安全中心成员账号的ADB-PG资产使用数据安全中心提供的功能。
成员账号费用说明:为成员账号下的资产开启数据识别和安全审计功能时,部分数据库产品读取数据和存储审计日志的费用,需要成员账号承担。费用详情,请参见接入DSC的数据库产品附加费用说明。
前提条件
已开通资源目录。具体操作,请参见开通资源目录。
已在资源目录中创建新的成员账号或邀请已有的阿里云账号。具体操作,请参见创建成员、邀请阿里云账号加入资源目录。
已购买数据安全中心实例。具体操作,请参见购买数据安全中心。
步骤一:设置数据安全中心委派管理员
资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。
使用企业管理账号登录资源管理控制台。
- 在左侧导航栏,选择 。
在可信服务页面,找到数据安全中心,在操作列单击管理。
- 在委派管理员账号区域,单击添加。
在添加委派管理员账号面板,将已购买DSC的阿里云账号设置为委派管理员,单击确定。
添加成功后,使用该委派管理员账号访问数据安全中心的多账号统一管理功能,即可进行资源目录组织范围内的管理操作。
步骤二:在数据安全中心添加成员账号
登录数据安全中心控制台。
在左侧导航栏,单击多账号统一管理。
如果您是首次使用多账号统一管理功能,请单击开通多账号统一管理。
该操作会将可信服务数据安全中心的状态更新为已启用。
单击添加成员账号。
在添加成员账号对话框,选择需管理的成员账号,并单击确定。
步骤三:管理成员账号资产
添加成员账号后,已购买DSC的阿里云账号可以在数据安全中心控制台管理当前账号和成员账号的数据资产。下文以资产授权页面为例介绍管理成员账号资产的操作步骤。
部分页面不支持按照UID筛选数据,例如工作台页面,具体支持情况请以控制台页面显示为准。
登录数据安全中心控制台。
在左侧导航栏,选择
。在授权管理页签下,可以通过筛选UID,管理对应阿里云账号下的资产。
删除数据安全中心成员账号
不需要管理某个成员账号的所有资产时,可以删除该成员账号。删除成员账号后,数据安全中心控制台中该账号相关的所有数据会被自动移除。
登录数据安全中心控制台。
在左侧导航栏,选择
。取消需删除的成员账号下所有资产的授权。
在左侧导航栏,单击多账号统一管理。
在多账号统一管理页面,单击目标账号操作列的删除。
在提示对话框中,单击删除。
常见问题
企业内多个账号已购买DSC,如何使用一个账号完成统一管理?
已购买DSC实例的成员账号不支持通过其他账号统一管理。该类账号下的资源需要被其他账号管理时,您需要为该账号退订已购买的DSC实例,再使用管理账号或委派管理员账号将该类账号添加为数据安全中心的成员账号。
提示当前账号无法开启数据安全中心怎么办?
您访问数据安全中心控制台提示当前账号无法开启数据安全中心,表示当前阿里云账号已被资源目录管理账号或委派管理员账号加入数据安全中心成员账号,当前账号不支持使用数据安全中心功能。您可以通过以下方式使用数据安全中心相应功能:
方式一:使用资源目录的管理账号或委派管理员账号登录,通过多账号统一管理功能来实现当前账号下的资源使用数据安全中心能力。
方式二:联系资源目录的管理账号或委派管理员账号,在数据安全中心控制台多账号统一管理页面,删除当前账号。然后再使用当前账号购买并使用DSC。
相关文档
- 本页导读