通过OSS敏感数据保护功能检查Bucket是否存在敏感数据风险-对象存储(OSS)-阿里云帮助中心

注意事项

华东1（杭州）、华东2（上海）、华北2（北京）、华南1（深圳）、华北3（张家口）、华北5（呼和浩特）、中国香港地域支持使用新版或旧版敏感数据保护。
首次开通新版敏感数据保护时，OSS将为每一个阿里云账号UID提供200GB的免费检测额度、有效期一年。一年内累计检测数据量超出免费检测额度时，将按敏感数据扫描容量计费，计费标准为0.20元/GB。
OSS为每一个仍在使用旧版敏感数据保护的阿里云账号UID提供100GB/月的免费检测额度，当月免费额度不可累计到下个月。当月累计检测数据量超出当月免费检测额度时，将按敏感数据扫描容量计费，计费标准为0.20元/GB。

使用限制

新版和旧版敏感数据保护存在以下限制：

Object存储类型

仅标准存储、低频访问类型的Object支持敏感信息检测。归档、冷归档以及深度冷归档类型的Object不支持敏感信息检测。
单个文件大小限制

最大支持敏感信息检测的单个文件大小为200 MB。
压缩包限制

一个压缩包支持解压的层级最多为5层，解压后的文件总个数最多为1,000个。对于超出限制范围的文件，不会被检测。

敏感数据等级

新版敏感数据等级

OSS默认使用互联网行业分类分级模板识别敏感数据。敏感数据等级分为S0、S1、S2、S3、S4。其中S0代表未检测到敏感内容，数值越大敏感等级越高。

您可以通过数据安全中心控制台左侧导航栏的分类分级 > 识别配置，然后单击互联网行业分类分级模板右侧的查看，了解敏感数据等级以及敏感数据分类。

旧版敏感数据等级

等级	数据分类
S1：低敏感	企业敏感信息：统一社会信用代码、组织机构代码、营业执照号码个人敏感信息：SSN、SwiftCode、未校验的身份证号位置敏感信息：城市（中国内地）、省份（中国内地）通用敏感信息：日期
S2：中敏感	企业敏感信息：税务登记证号码个人敏感信息：车辆识别代码、宗教、姓名（英文）、姓名（简体中文）、姓名（繁体中文）、军官证、电话号码（中国内地）、车牌号（中国内地）密钥敏感信息：AccessKeyId 设备敏感信息：URL、MEID、IMEI、IPv6地址、JDBC连接串、MAC地址、IP地址位置敏感信息：地址（中国内地）
S3：高敏感	个人敏感信息：电话号码（美国）、信用卡、身份证（新加坡）、身份证（马来西亚）、身份证（中国香港）、港澳通行证、护照号（中国内地）、邮箱、手机号（中国内地）、银行卡、身份证（中国内地）密钥敏感信息：PEM证书、KEY私钥、AccessKey Secret 位置敏感信息：GPS位置设备敏感信息：Linux-Passwd文件、Linux-Shadow文件敏感图片信息：身份证图片（中国内地）、护照图片（中国内地）
N/A：未知风险等级	未识别风险信息

使用OSS控制台

如果您仍在使用旧版敏感数据，建议您及时升级为新版。相比旧版，新版增加了以下核心能力。

支持用户创建自定义识别任务，灵活配置扫描Bucket中的全量数据或者指定前缀的数据。
针对非结构化数据加入大模型检测能力，提升AccessKey等关键特征的识别准确度。
提供数据安全综合分析报告，敏感数据及其风险分布清晰可视化。

新版敏感数据保护

首次使用敏感数据保护时，您需要完成授权和开通操作。
1. 登录OSS管理控制台。
2. 单击Bucket 列表，然后单击目标Bucket名称。
3. 在左侧导航栏，选择内容检测 > 敏感数据保护。
4. 在敏感数据保护页面，单击授权并开通。
5. 在配置识别任务对话框，设置自动扫描周期和扫描启动时间，然后单击确定。
  
  配置完成后，OSS会对指定Bucket的全量或者指定前缀的数据进行扫描并收取扫描费用。完成初次扫描的时间因扫描的数据量而存在差异，请间隔一段时间后查看扫描结果。
配置识别任务。

如果您希望在首次全量扫描完成后，对Bucket内的新增文件或变更文件进行扫描，或者自定义扫描周期或者扫描启动时间，请执行以下步骤：
1. 在敏感数据保护页面，单击右上角的识别配置。
2. 在配置识别任务对话框，修改自动扫描周期和扫描启动时间，然后单击确定。
  
  配置完成后，OSS默认会对指定Bucket内存储的数据进行增量扫描并收取扫描费用。
查看敏感数据扫描结果。

扫描完成后，OSS对敏感数据自动梳理、自动分类分级并统一展示，以便您随时了解OSS数据资产的安全状态。

查看单个Bucket的敏感数据扫描结果

在敏感数据保护页面查看该Bucket的敏感数据扫描结果。

扫描结果页面展示以下统计信息：数据分类分级统计（各敏感等级占比）、敏感数据标签统计（按标签类型占比）、数据识别率（敏感与非敏感文件占比）以及命中模型 TOP 5。页面下方为敏感文件列表，支持按命中模型和敏感等级筛选。右上角提供识别配置和停用敏感数据按钮。

查看多个Bucket的敏感数据扫描结果

您对多个Bucket进行敏感数据扫描后，您可以通过在左侧导航栏选择数据服务>数据安全，在数据安全页面查看所有扫描过的Bucket数据。

该页面以列表形式展示各 Bucket 的扫描汇总信息，包括地域、总文件数、敏感等级、敏感文件数、数据标签和最后扫描时间等。支持按地域、Bucket 名称和敏感等级筛选，单击目标 Bucket 右侧的文件详情可查看详细扫描结果。
查看文件的敏感详情。

如果您需要查看被命中文件的敏感数据类型、敏感等级、命中规则和命中数量等，您可以单击目标文件右侧的命中详情。

旧版敏感数据保护

登录OSS管理控制台。
单击Bucket 列表，然后单击目标Bucket名称。
在左侧导航栏，选择数据安全 > 敏感数据保护。

重要
全新版本的敏感数据保护已全面上线，强烈建议您升级为新版！

进入旧版敏感数据保护页面后，页面顶部有新版升级提示横幅，单击升级按钮即可升级至新版。

使用旧版敏感数据保护时，OSS仅对指定Bucket内存储的数据执行全量扫描并收取扫描费用。敏感数据扫描完成后，支持查看各等级敏感数据的占比以及Top 5的敏感数据类型等信息。

页面下方为敏感数据列表，展示各文件的名称、大小、类型、敏感字段数、最高敏感等级和命中规则数。您可以单击目标文件右侧的命中详情查看详细信息，也可以通过关闭扫描和扫描设置按钮管理扫描任务。

后续操作

针对存在敏感信息的文件，您可以按需选择以下处理方式：

对存在敏感信息的文件进行脱敏。具体操作，请参见OSS图片脱敏、对OSS表格文件中的敏感数据进行脱敏。
为不同敏感等级的文件设置不同的权限策略。具体操作，请参见同步敏感等级标签至OSS文件。
删除存在敏感信息的文件。具体操作，请参见删除文件。

权限说明

阿里云账号默认拥有全部权限。阿里云账号下的RAM用户或RAM角色默认没有任何权限，需要阿里云账号或账号管理员通过RAM Policy概述或Bucket Policy授予操作权限。

新版敏感数据保护权限说明

Action	说明
`oss:UpgradeSddpVersion`	升级敏感数据保护版本。
`oss:CreateSddpDefaultTask`	创建识别任务，开始扫描Bucket内的数据。
`oss:GetSddp*`	查询单个Bucket或文件的识别结果。
`oss:ListSddp*`	列举多个Bucket和文件的识别结果。
`oss:UpdateSddpTaskStatus`	启动或暂停识别任务。
`oss:ModifySddpDefaultTask`	修改识别任务配置。
`oss:DeleteSddpDefaultTask`	删除识别任务，停止扫描Bucket内的数据。

旧版敏感数据保护权限说明

Action	说明
`oss:SddpCreateDataLimit`	扫描Bucket内的数据。
`oss:SddpDescribeBucketInstances`	查看单个Bucket的扫描结果。
`oss:SddpDescribeAllBucketInstances`	查看所有Bucket的扫描结果。

计费说明

使用新版或旧版敏感数据保护功能，会产生以下计费项。有关计费项的定价详情，请参见OSS产品定价。

计费项	说明
敏感数据保护费用	对授权的Bucket数据进行全量或增量扫描。根据扫描的数据量收取费用。