敏感数据保护服务SDDP在检测数据源(OSS、RDS、DRDS、PolarDB、OTS、ECS自建数据库、MaxCompute)中存储的敏感数据之前,需要首先获取允许访问这几类云产品数据的授权。

OSS文件桶访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. OSS页签下单击未授权
  4. 选中需要授权的OSS文件桶(Bucket)并单击批量授权批量授权
    您也可以单击某个OSS文件桶(Bucket)开启防护列下的授权,为该Bucket开启授权。
  5. 对于选中资产批量处理对话框中,设置识别、审计、脱敏等权限。批量授权页面
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  6. 单击确认
    完成资产授权后,SDDP将会对开启授权的OSS存储空间中的文件执行敏感数据检测。如果该存储空间是首次开启授权,SDDP将会自动触发全量扫描并收取全量数据扫描的费用。相关内容请参见数据源授权完成后需要多长时间完成扫描?

    已授权资产中的数据可进行编辑或取消授权。取消授权后,SDDP不会检测该文件桶中的数据。

    说明 SDDP仅对已授权的Bucket进行数据扫描和风险分析。

RDS库访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击RDS页签。
  4. RDS页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。
    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量授权
    您也可以单击某个实例操作列下的授权为该实例授权。
  7. 在授权页面,设置识别、审计、脱敏等权限。
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产中进行数据审计的权限。

      SDDP支持审计日志功能,审计日志数据提供了包括审计规则命中结果、审计规则检测的资产类型、命中规则的操作类型和操作账号等信息,覆盖资产数据产生、更新和使用等全链路的日志数据。

      SDDP安全审计功能的使用,请参见审计规则

      说明 开通RDS审计日志会自动开启RDS SQL洞察功能,开启该功能将额外产生SQL洞察费用。非试用版按小时扣费,0.008元/GB/小时。该费用将体现在您的RDS账单中,查看该费用的方法请参见查看消费明细。SQL洞察相关内容请参见SQL洞察
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该RDS数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

DRDS访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击DRDS页签。
  4. DRDS页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。
    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量授权
    您也可以单击某个实例操作列下的授权为该实例授权。
  7. 在授权页面,设置识别、审计、脱敏等权限。
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该DRDS数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

PolarDB访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击PolarDB页签。
  4. PolarDB页签下单击未授权
  5. 定位到需要授权的实例,在用户名密码文本框输入连接数据库的用户名和密码。
    注意 用户名和密码错误将会导致授权失败,请您输入正确的用户名和密码。
  6. 选中需要授权的资产并单击批量授权
    您也可以单击某个实例操作列下的授权为该实例授权。
  7. 在授权页面,设置识别、审计、脱敏等权限。
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  8. 单击确定
    说明 若授权未通过,请检查输入的用户名和密码是否正确。
    授权完成后,SDDP会检测该资产中的数据。

    已授权的资产可编辑或取消授权。仅支持编辑该PolarDB数据库合法用户的用户名和密码。取消授权后,SDDP不会检测该数据库中的数据。

OTS访问授权

OTS即表格存储服务。

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击OTS页签。
  4. RDS页签下单击未授权
  5. 选中需要授权的资产并单击批量授权
    您也可以单击某个实例操作列下的授权为该实例授权。
  6. 在授权页面,设置识别、审计、脱敏等权限。
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  7. 单击确定
    授权完成后,SDDP会检测该资产中的敏感数据。

ECS自建数据库访问授权

SDDP支持检测的ECS自建数据库有以下限制:
  • 仅VPC网络中的ECS自建数据库支持使用SDDP服务。
  • 目前仅支持MySQL和SQL Server两种类型的ECS自建数据库。
  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击ECS自建数据库页签。
  4. ECS自建数据库页签下单击添加数据资产
  5. 资产授权对话框中,配置相应参数并单击下一步。
    您可以参考以下参数表格中的说明配置相应参数。
    参数 说明
    区域 选择您需要授权SDDP访问的ECS自建数据库的所在区域。
    ECS实例ID 选择您需要授权SDDP访问的ECS自建数据库所在的ECS实例ID。
    数据库类型 选择您需要授权SDDP访问的ECS自建数据库的类型。 目前SDDP仅支持MySQL和SQL Server两种类型的ECS自建数据库。
    库名称 输入您需要授权SDDP访问的ECS自建数据库名称。
    说明 如果当前ECS实例下还有其他ECS自建数据库需要授权SDDP访问,您可以单击添加数据库,填写其他ECS自建数据库的信息。
    端口 填写访问ECS自建数据库使用的端口号。
    用户名 输入可以访问ECS自建数据库合法用户的用户名和密码。
    密码
  6. 在授权页面,设置识别、审计、脱敏等权限。
    您需要设置以下权限:
    • 识别权限:开启或关闭SDDP识别选中资产敏感数据的权限。
    • 审计权限:开启或关闭SDDP对选中资产进行数据审计的权限。
    • 脱敏权限:开启或关闭SDDP对选中资产进行敏感数据脱敏的权限。
    • 敏感数据采样:设置SDDP对选中资产进行敏感数据采样的条数。可选取值:
      • 0条
      • 5条
      • 10条
    • 审计日志存档:设置选中资产的审计日志保存时间。可选取值:
      • 30天
      • 90天
      • 180天
      说明 设置审计日志存档时间无需您额外开通日志服务。
  7. 单击确定
    授权完成后,SDDP会检测该资产中的敏感数据。

MaxCompute项目访问授权

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击资产保护授权
  3. 云上托管页面单击MaxCompute页签。
  4. MaxCompute页签下单击添加数据资产
  5. 添加数据资产页面,设置授权参数(详见下表)。
    参数 说明
    区域 选择您需要授权SDDP访问的MaxCompute项目的所在区域。
    项目名称 输入MaxCompute项目名称。
    说明 项目名称不支持模糊查询,请输入准确的名称。
  6. 在MaxCompute客户端执行以下命令,将SDDP数据访问子账号yundun_sddp添加到该MaxCompute项目中。
    add user aliyun$yundun_sddp;
    
    grant admin to aliyun$yundun_sddp;

    您可以根据以下说明判断接下来执行的步骤。

    • 如果此步骤执行后无报错提示,请直接跳转至步骤8
    • 如果此步骤执行后提示添加失败,请执行步骤7
  7. 可选:执行以下命令将SDDP服务IP地址添加到MaxCompute IP白名单中。
    
    setproject odps.security.ip.whitelist=11.193.236.0/24,11.193.64.0/24,11.193.58.0/24 odps.security.vpc.whitelist=<VPC网段ID>;
    //11.193.236.0/24,11.193.64.0/24,11.193.58.0/24是SDDP服务使用的经典网络IP段,必须配置;
    //VPC网段ID需要替换为您的MaxCompute项目所在区域的VPC网段ID。区域和VPC网段ID的对应关系详见以下表格。

    如果您已开启了MaxCompute IP白名单限制,为了避免资产授权失败,您需要执行本步骤将SDDP服务IP地址添加到MaxCompute IP白名单中。您可以执行setproject;命令,查询是否已开启MaxCompute IP白名单。如果odps.security.vpc.whitelist=等号后面的内容为空,表示未开启白名单,则您可以跳过本步骤。

    区域 区域ID VPC网段ID
    张家口 cn-zhangjiakou cn-zhangjiakou_399229
    背景 cn-beijing cn-beijing_691047
    深圳 cn-shenzhen cn-shenzhen_515895
    上海 cn-shanghai cn-shanghai_28803
    杭州 cn-hangzhou cn-hangzhou_551733
    说明 设置IP白名单后,您需要等待5分钟再进行授权。
  8. 单击确认
    说明 若授权未通过,请检查授权参数是否有误或SDDP访问子账号是否添加成功。
    授权完成后,SDDP会对该项目列表中的所有数据进行检测。

    资产完成授权后可取消授权。取消授权后,SDDP不会检测该资产中的数据。

排查资产授权失败原因

添加资产授权时可能会出现授权失败的情况。授权失败时请排查是否存在以下问题:
  • RDS连接授权失败的可能原因
    • RDS数据库账号或密码输入错误。
    • 您自行删除了RDS访问白名单中SDDP自动添加的服务器地址。
    • 部署在经典网络中的阿里云数据产品外网地址未放行流量的访问控制,导致网络不通。
  • MaxCompute连接授权失败的可能原因
    • MaxCompute项目名称输入错误。
    • MaxCompute项目中添加SDDP账号失败。