OSS敏感数据保护是一款识别、分类、分级和保护存储空间(Bucket)中敏感数据的原生服务,可满足数据安全、个人信息保护等相关法规的合规要求。
背景信息
敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OSS Bucket中。企业拥有大量数据,但无法准确获知这些数据中是否包含敏感数据以及敏感数据所在的位置。
OSS的敏感数据保护能从海量数据中快速发现和定位敏感数据,精准区分敏感数据与非敏感数据。通过内置算法规则和敏感数据识别规则,对OSS存储的海量数据进行扫描、分类和分级。您可以根据扫描结果做进一步的安全防护,例如通过加密、设置访问权限等方式对数据进行安全审计或保护,从而满足数据安全、个人信息保护等相关法规的合规要求。
注意事项
无地域属性存储空间不支持开启敏感数据保护。
权限说明
要使用RAM用户扫描指定Bucket中包含的敏感数据时,需授予RAM用户
oss:SddpCreateDataLimit权限。要使用RAM用户查看单个Bucket扫描结果时,需授予RAM用户
oss:SddpDescribeBucketInstances权限。要使用RAM用户查看所有Bucket扫描结果时,需授予RAM用户
oss:SddpDescribeAllBucketInstances权限。请通过脚本配置方式创建以上自定义权限策略,然后为指定的RAM用户授予相应权限。具体操作,请参见为RAM用户授权自定义的权限策略。
支持地域
华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、中国香港地域支持开启敏感数据保护。
计费说明
在OSS数据初次接入扫描时,敏感数据识别对已授权的数据源执行全量扫描并收取全量扫描费用。初次扫描任务完成后,敏感数据识别仅对该数据源中新增或修改的文件收取扫描费用。关于敏感数据保护费用的更多信息,请参见敏感数据保护费用。
敏感数据分级分类
等级 | 数据分类 |
S1:低敏感 |
|
S2:中敏感 |
|
S3:高敏感 |
|
N/A:未知风险等级 | 未识别风险信息 |
使用OSS控制台
登录OSS管理控制台。
单击Bucket 列表,然后单击目标Bucket名称。
在左侧导航栏,选择数据安全 > 敏感数据保护。
重要初次使用敏感数据保护功能时,请单击授权并开通后,在弹出对话框,单击确定,完成授权并开通功能。
初次开启敏感数据保护后,OSS会对指定Bucket内存储的数据进行全量扫描并收取扫描费用。完成初次扫描的时间因扫描的数据量会存在差异,请间隔一段时间后查看扫描结果。敏感数据扫描完成后,您可以查看各等级敏感数据的占比以及Top 5的敏感数据类型等信息。
当您对多个Bucket进行敏感数据扫描后,您可以通过在左侧导航栏选择数据服务>数据安全,在数据安全页面查看所有扫描过的Bucket数据,如下图所示。
更多操作
| 操作 | 说明 |
| 查看敏感数据详情 | 如果您需要查看被命中文件的敏感数据类型、敏感等级、命中规则和命中数量等,您可以单击目标文件右侧的命中详情。 |
| 搜索指定文件 | 如果您想快速查看与指定字段匹配的文件包含的敏感信息,您可以在搜索栏输入文件名称关键字,然后单击搜索。 |
| 修改扫描设置 | 初次扫描任务完成后,如果您仅需要扫描该Bucket中新增或修改的数据,您可以单击扫描设置定义自动扫描周期和自动扫描开始时间。 |
| 关闭敏感数据扫描 | 如果您已完成敏感数据识别,且后续不需要进行增量数据的识别,您可以单击关闭扫描。 |
| 保护敏感数据 | 对于扫描出的敏感数据,您可以结合等保V2.0的要求和业务的实际需要,通过加密、设置访问权限等方式对数据进行安全审计或保护。 |