您可以在DMS中将敏感、机密字段(如手机号码)设置成敏感列,未开通敏感列数据权限的用户只能查询到***信息。且DMS提供的遮掩算法可以让您灵活配置脱敏方式。

前提条件

已创建 poc_prod数据库,详情请参见 结构设计
说明 本文以 poc_prod数据库为例进行介绍。

设置敏感列与遮掩算法

  1. 以管理员账号登录DMS控制台
  2. 在DMS左侧的实例列表中展开poc_prod实例,右键单击poc_prod数据库,在弹窗中选择表详情
  3. 单击data_modify表左侧的展开图标。
    系统将展开 data_modify表的字段。
  4. 在字段列头,单击调整
    调整安全级别
  5. 选中phone字段右侧的敏感,并单击提交流程到安全部门
    提升phone字段
    该操作将 phone字段调整为敏感字段。
  6. 单击确认,等待审批完成。
    系统将跳转至工单详情页,您可单击 查看审批详情查询审批进度。
  7. 待审批完成后,在SQL Console中查询敏感列数据。
    此时 phone字段为全遮掩状态。 查询敏感列为全遮掩状态
    说明 所有用户(包含管理员与DBA)需额外申请敏感列的权限才可查看对应数据,具体操作请参见 申请敏感列访问权限
  8. 在页面顶部,选择全部功能 > 系统管理 > 安全管理 > 敏感数据管理
  9. 在目标敏感数据右侧,单击添加算法
    添加敏感列算法
    说明 您也可以通过上方的搜索功能,查找目标敏感数据。
  10. 添加算法弹窗中,配置如下参数,并单击添加
    说明 本示例以 固定位置为例进行介绍,敏感列数据管理算法的更多说明,请参见 敏感列数据管理
    编辑算法
    配置项 说明
    算法类型 选择算法类型,当前支持的取值如下:
    • 固定位置:遮掩指定位置的字符。
    • 固定字符:遮掩指定字符。
    • 全遮掩:遮掩所有字符。
    遮掩字符 输入用于展示的字符。默认为***
    遮掩位置 定义数据的哪些位置需要进行脱敏,本例中设置为(1,5),表示遮掩第1位到第5位,也可以用(5)表示。
    说明 支持指定多个范围,但最多不超过3个位置,如 (1,4),(6,7),(-2),表示遮掩前4位、第6位到第7位、最后2位。
    算法描述 输入该算法的描述。

申请敏感列访问权限

所有用户(包含管理员与DBA)在未申请敏感列数据的权限前,均无法查询数据,需额外申请敏感列的权限才可查看。本示例以普通用户申请敏感列访问权限为例进行介绍。

  1. 以普通用户账号登录DMS控制台
  2. 在页面顶部,选择全部功能 > 权限 > 敏感列-权限
  3. 权限申请工单页面,输入poc_prod数据库,单击搜索
  4. 选中目标敏感列,单击添加,将其移动至确认已选择的库/表/列框中。
    申请敏感列
  5. 选择权限区域,配置以下信息,并单击提交申请
    选择敏感列权限
    配置项 说明
    权限类型 请按需申请查询导出变更权限。
    说明 支持多选。
    脱敏方式 请按需选择脱敏方式,当前支持的取值如下:
    • 半脱敏:数据将以对应的遮掩算法生成的形式展现。
    • 明文:数据将以明文形式展现。
    说明 若您申请了 半脱敏导出权限,您导出的数据也为半脱敏格式。
    期限 请按需选择您的申请期限。
    申请原因 请输入申请原因及背景,以减少审批流程中的沟通成本。
    说明 提交申请后,请等待审批通过,您可以在工作台的首页,查看权限申请工单的审核进度。
  6. 待审批完成后,在SQL Console中查询敏感列数据。
    由于本示例申请的权限为半脱敏权限,因此 phone字段按根据遮掩算法的格式显示。 按遮掩算法显示