管理脱敏规则

您可以在PolarDB控制台上新建以及启用或禁用脱敏规则,同时您还可以修改或删除已有的脱敏规则。本文将介绍相关操作步骤。

前提条件

PolarDB数据库代理版本需为2.4.12或以上。如何查看和升级当前数据库代理版本,请参见小版本升级

注意事项

  • 动态脱敏功能仅对集群地址(包括默认集群地址和自定义集群地址)生效,使用主地址连接数据库进行查询时,动态脱敏功能不生效。查看集群连接地址的操作步骤,请参见查看连接地址和端口
  • 查询数据时,若查询结果中包含需要脱敏的列,且单行数据超过16 MB时,执行该查询命令的连接会断开。

    例如,若已有一张包含了namedescription列的表person,其中name列需要脱敏,且description列中的数据超过了16 MB。当执行SELECT name, description FROM person时,执行该查询命令的连接则会断开。

  • 若需要脱敏的数据列作为函数入参,脱敏功能会失效。

    例如,已创建了一条需要对name列数据进行脱敏的规则,当执行SELECT CONCAT(name, '') FROM person 进行查询时, 应用程序仍然能够读取到name的原始值。

  • 若需要脱敏的数据列同时被用于UNION中,脱敏功能可能会失效。

    脱敏失效示例:已创建了一条需要对name列数据进行脱敏的规则,当执行SELECT hobby FROM person UNION SELECT name FROM person语句进行查询时, 应用程序仍然能够读取到name的原始值。

新建脱敏规则

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,选择配置与管理 > 安全管理

  5. 动态脱敏/加密页签,单击页面左上角的新增

  6. 新建规则对话框中,设置以下参数:

    表 1. 配置脱敏规则

    参数

    是否必填

    说明

    基本信息

    规则名称

    必填

    脱敏规则的名称。字符长度不能超过30个字符。

    规则描述

    选填

    规则的描述。字符长度不能超过64个字符。

    启/禁规则

    不涉及

    启/禁规则开关。

    说明

    新建脱敏规则时,启/禁规则开关默认打开。

    Endpoint

    必填

    需要应用当前规则的Endpoint。

    规则配置

    数据库账号名

    选填

    需要应用当前规则的数据库账号名称。支持如下选项:

    • 所有数据库账号:表示当前规则对该集群中的所有数据库账号生效,此时右侧文本框无需填写任何内容。

    • 包含:表示当前规则仅对目标数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

    • 不包含:表示当前规则会对该集群中,除目标数据库账号外的所有数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

    说明

    文本框中填入的数据库账号名称需满足支持如下格式中的任意一种:

    • 账号名。示例:user

    • 账号名@完整IP。示例:user@10.1.1.1

    • 账号名@含通配符的IP。示例:user@10.1.1.%user@%.1.1.1user@1.%.1

    • 账号名@IP/掩码。示例:user@10.1.1.0/255.255.255.0

    数据库名

    选填

    需要应用当前规则的数据库名称。支持如下选项:

    • 所有数据库:表示当前规则对该集群中的所有数据库生效,此时右侧文本框中无需填入任何内容。

    • 包含:表示当前规则仅对目标数据库生效,此时右侧文本框中必须填入一个或多个数据库名称,多个名称间用英文逗号(,)分隔。

    表名

    选填

    需要应用当前规则的表名称。支持如下选项:

    • 所有表:表示当前规则对该集群中的所有表生效,此时右侧文本框中无需填入任何内容。

    • 包含:表示当前规则仅对目标表生效,此时右侧文本框中必须填入一个或多个表名称,多个名称间用英文逗号(,)分隔。

    字段名

    必填

    需要应用当前规则的字段名称。支持同时输多个字段名称,多个名称间用英文逗号(,)分隔。

  7. 单击确定

启用或禁用规则

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,选择配置与管理 > 安全管理

  5. 动态脱敏/加密页签,找到目标规则,打开或关闭启/禁规则开关。

    说明
    • 您也可以在规则列表中同时选中多个目标规则,然后单击列表下方的启用禁用进行批量启用禁用规则。

    • 禁用的脱敏规则不会被删除,而是继续保留在规则列表里。如有需要,您可以再次启用该规则。

  6. 在弹出的对话框中,单击确定

修改规则

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,选择配置与管理 > 安全管理

  5. 动态脱敏/加密页签,找到目标规则,单击右侧操作列的修改,在弹出的对话框中,根据业务需要修改规则参数。规则参数的具体说明,请参见配置脱敏规则

    说明

    仅支持修改规则描述规则配置中的各参数,不支持修改规则名称

  6. 单击确定

删除脱敏规则

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,选择配置与管理 > 安全管理

  5. 动态脱敏/加密页签,找到目标规则,单击右侧操作栏中的删除

    说明

    您也可以在规则列表中同时选中多个目标规则,然后单击列表下方的删除进行批量删除。

  6. 在弹出的对话框中,单击确定

相关API

API

描述

查询脱敏规则列表

查询PolarDB集群下所有的脱敏规则或目标脱敏规则的详情。

ModifyMaskingRules

修改脱敏规则配置或新增脱敏规则。

DeleteMaskingRules

删除目标脱敏规则。