更新时间:2024-10-18 GMT+08:00

管理动态水印策略

动态水印指在数据的访问过程中,动态地在数据的查询访问请求返回结果集中注入水印的方式。本章主要介绍如何实现数据开发动态水印功能,最终在数据开发组件中转储或下载敏感数据时,系统动态注入数据水印。

在数据安全组件开启数据开发动态水印功能并创建动态水印策略后,当策略中指定的用户组或角色在数据开发组件中转储或下载敏感数据时,数据开发组件会为敏感数据注入暗水印,保护敏感数据不被泄露。

暗水印内容为获取敏感数据用户的“IAM用户ID”前16位。用户ID可以参考如下步骤进行获取:
  1. 注册并登录管理控制台。
  2. 在用户名的下拉列表中单击“我的凭证”
  3. “API凭证”页面,查看账号名和账号ID、IAM用户名和IAM用户ID,在项目列表中查看项目和项目ID。

值得注意的是,动态水印策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。

前提条件

已创建MRS Hive连接或MRS Spark连接。

约束与限制

  • DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以开启或关闭数据开发动态水印功能,至少为工作空间管理员角色才可以创建动态水印策略,其他普通用户无权限操作。
  • 当前动态水印策略仅支持MRS Hive和MRS Spark数据源。
  • 新增、删除或修改动态水印策略后,需要约5分钟后才能生效。
  • 仅当转储或下载数据量大于500行时,系统才会进行水印嵌入。如果数量小于等于500行,即使嵌入水印后也难以溯源。

创建动态水印策略

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 单击左侧导航树中的动态水印,进入动态水印页面。

    图1 进入动态水印页面

  3. 单击,开启数据开发动态水印功能。然后单击“新建”,进入新建动态水印策略页面,参数配置参考表1

    图2 新建动态水印策略参数配置

    创建动态水印策略参数配置说明:
    表1 配置策略参数

    参数名

    参数说明

    *策略名称

    动态水印策略的唯一标识,DataArts Studio实例内的名称唯一。

    为便于策略管理,建议名称中标明要添加水印的对象和水印内容。

    *用户组/角色

    指定当前工作空间成员中的用户、用户组或角色。当指定对象在数据开发组件中查询或导出敏感数据时,系统会对敏感数据添加动态水印,保护敏感数据不被泄露。

    *数据源类型

    从下拉列表中选择MRS Hive数据源或MRS Spark数据源。

    *数据连接

    从下拉列表中选择数据连接类型中已创建的数据连接,若未创建请参考创建DataArts Studio数据连接新建连接。

    *集群名称

    无需选择,自动匹配数据连接中的数据源集群。

    *数据库

    选择敏感数据所在的数据库。

    *数据表

    选择敏感数据所在的数据表。

  4. 单击“确定”,完成动态水印策略创建。

相关操作

  • 水印提取:获得从数据开发下载的动态水印CSV数据文件后,参考水印提取进行水印溯源。
  • 配置策略:在动态水印页面,单击对应任务操作栏中的“配置”,即可配置动态水印策略。
  • 编辑策略状态:新增的水印策略默认为启用状态。当水印策略为关闭状态时,表示该策略将不生效。

    需要修改水印策略状态时,在动态水印页面单击对应水印策略中的,即可启用或关闭水印策略。

  • 删除策略:在动态水印页面,单击对应任务操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选策略后,在列表上方单击“删除”。

    删除操作无法撤销,请谨慎操作。

  • 查看策略详情:在动态水印页面,找到需要查看的策略,单击策略名即可查看策略详情。
    图3 查看策略详情