添加数据库资产并授权
如果需要对数据库资产进行敏感数据识别、数据静态脱敏以及添加/提取数据水印,请您对实例下的数据库进行授权,授权后DSC才能访问您的数据库。
- 如果您的资产是自建数据库类型,请参照添加数据库实例的操作将实例添加到DSC服务后,再参照授权数据库的操作授权DSC访问您的数据库。
- 如果您的资产是云上数据库类型,则不需要添加实例,请参照授权数据库的操作直接授权DSC访问您的数据库。
前提条件
|
类型 |
前提条件 |
|---|---|
|
自建数据库 |
|
|
DWS跨账号/跨VPC实例 |
|
约束限制
- 支持添加的DWS实例版本:9.1.0、9.0、8.3.0、8.2.1、8.2.0、8.1.3、8.1.1、8.0.1、8.0.0。
- 自建DB只能添加数据安全中心支持的数据源及版本,DSC支持的数据源及版本如表2所示。
添加数据库资产并授权
您可以参照如下操作将您的数据库资产接入DSC进行数据安全管理。
自建DB支持添加和删除数据库实例,DSC支持的数据库类型及版本请参见表2。本节介绍如何添加云上自建数据库。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中选择,进入“资产中心”页面。
- 选择,进入“数据库”页签。
- 单击“数据库实例”,进入“数据库实例”页签。
- 单击左上角的“添加实例”,进入“添加数据库实例”弹框。
图1 添加数据库实例
- 根据表3配置相关参数,单击“确定”完成自建数据库实例的添加。
表3 配置数据库实例信息 参数
说明
ECS实例
单击下拉框选择需要添加的自建数据库实例所属ECS。
安全组
单击下拉框选择所属安全组。
数据库引擎
单击下拉框选择对应的自建数据库的引擎,目前支持如下引擎类型:
- MySQL
- TDSQL
- KingBase
- DMDBMS
- PostgreSQL
- SQLServer
- Oracle
版本
单击下拉框选择数据库引擎的版本。
连接方式
“数据库引擎”选择“Oracle”时显示该参数,单击下拉框选择连接方式:
- 服务名:请输入服务名称。
- SID:请输入SID。
主机
单击下拉框选择主机。
集群部署模式下,如需使用脱敏功能需设置为主节点IP。
数据库端口
输入0-65535的整数。
数据库名称
输入数据库名称。
用户名/密码
输入该数据库的用户名和密码。
资产名称
输入长度范围为4-255个字符,仅允许输入中英文、数字、"-"、"_",并且开头需为中文或者字母。
创建元数据拉取任务
打开开关后,会基于实例的默认数据库自动下发元数据任务,拉取实例的库、表、列信息。
- 实例添加完成后如果需要对该实例下的数据库进行敏感数据识别和脱敏,请先对该实例下的数据库进行授权,具体操作请参见授权数据库。
通过云专线等方法打通云下资产到云上代理VPC的网络就可以将云下数据库批量添加到数据安全中心。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中选择,进入“资产中心”页面。
- 选择,进入“数据库”页签。
- 单击“数据库实例”,进入“数据库实例”页签。
- 单击左上角的“批量添加实例与数据库”,进入“批量添加实例与数据库”弹框。
- 单击“下载模板”,下载Excel模板,根据表4填写相关参数。
表4 数据库实例信息 参数
说明
资产名称
自定义,在填写后在自己数据库列表中显示的资产名称
ECS实例ID
外部自建数据库可以不填,本账号购买ECS自建数据库需要填写对应ESC实例的ID。
Oracle连接方式(默认服务名)
仅Oracle需要填写,其余类型无需填写。
Oracle服务名/SID
填写服务名称。
代理VPC
云内数据库无需填写,外部自建数据库必填,对应ECS的代理VPC。
子网
云内数据库可以不填,外部ESC必填,对应ECS的子网ID。
安全组
云内数据库可以不填,外部ESC必填,对应ECS的安全组。
数据库引擎
如果ECS实例已被添加,将会使用已添加引擎。
版本
如果ECS实例已被添加,将会使用已添加版本。
主机IP
如果ECS实例已被添加,将会使用已添加IP。
数据库端口
如果ECS实例已被添加,将会使用已添加端口。
数据库名称
数据库的名称。
用户名
数据库账号。
密码
数据库密码。
是否拉取元数据
TRUE或者FALSE。
- 单击“添加文件”选择填好的模板,单击“确定”。
- 打开开关后,会基于实例的默认数据库自动下发元数据任务,拉取实例的库、表、列信息。
- 实例添加完成后如果需要对该实例下的数据库进行敏感数据识别和脱敏,请先对该实例下的数据库进行授权,具体操作请参见授权数据库。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中选择,进入“资产中心”页面。
- 选择,进入“数据库”页签。
- 选择“数据库实例”页签,在实例列表左上角单击“添加跨账号/跨VPC实例”,进入“添加数据库实例”弹窗。
图2 添加数据库实例
- 根据表5配置相关参数,单击“确定”完成数据库实例的添加。
表5 配置跨账号/跨VPC实例信息 参数
说明
代理PC
单击下拉框选择已申请的代理VPC。
子网
单击下拉框选择子网。
安全组
单击下拉框选择已申请的安全组。
实例名称
输入需要添加的实例名称。
版本
单击下拉框选择版本,支持添加如下版本的实例:
- 9.1.0
- 9.0
- 8.3.0
- 8.2.1
- 8.2.0
- 8.1.3
- 8.1.1
- 8.0.1
- 8.0.0
主机
输入已获取的主机IP地址。
数据库端口
输入数据库端口。
数据库名称
输入数据库名称。
用户名
输入连接数据库的用户名。
密码
输入连接数据库的密码。
资产名称
输入资产名称。输入长度范围为4-255个字符,仅允许输入中英文、数字、"-"、"_",并且开头需为中文或者字母。
创建元数据拉取任务
创建元数据任务开关打开后,会基于实例的默认数据库自动下发元数据任务,拉取实例的库、表、列信息。
- 实例添加完成后如果需要对该实例下的数据库进行敏感数据识别和脱敏,请先对该实例下的数据库进行授权,具体操作请参见授权数据库。
该功能需要提交工单申请配置相关参数才能使用。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中选择,进入“资产中心”页面。
- 选择,进入“数据库”页签。
- 选择“数据库实例”页签,在实例列表左上角单击“添加实例”,进入“添加数据库实例”弹窗。
图3 添加CloudDB数据库实例
- 根据表6配置相关参数,单击“确定”完成数据库实例的添加。
- 单击“确定”完成实例添加。
云数据库授权需要已开通RDS/DWS/GaussDB服务,且已有资产,且对应子网下含有可用的IP配额。
云数据库和自建数据库的数据库实例的“状态”为“正常”。
这里以“RDS”数据库类型为例讲解如何对实例下的数据库资产进行授权。如果需要对其他类型的数据库进行授权,请单击对应的数据库类型如“DWS”或者“自建DB”按照如下操作步骤进行操作即可。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中选择,进入“资产中心”页面。
- 单击“RDS”进入RDS“数据库”列表界面。
图4 RDS数据库实例
- 单击“数据库实例”,进入“数据库实例”页签。可以通过以下两种途径完成授权:
- 方法一:单击“数据库实例”列表“操作”列的“授权”,输入数据库信息进行授权。
图5 数据库授权
- 授权“只读权限”:只能使用敏感数据识别功能。
- 授权“读写权限”:可使用敏感数据识别和数据脱敏功能。
- 创建了RDS只读权限后,DSC服务会在RDS创建一个dsc_readonly账户。
- dsc_readonly账户的密码在RDS重置后,将不会自动同步到DSC服务,会导致敏感数据识别任务失败,因此,建议您不要重置该账户密码。
- 如果您已在RDS里重置了dsc_readonly账户的密码,建议您在DSC服务里先删除已授权的rds实例,再重新对该实例进行权限设置。
- DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。
- 创建了RDS只读权限后,DSC服务会在RDS创建一个dsc_readonly账户。
- 方法二:通过单击“实例名称”进入实例详情页面,单击“操作”列的“授权”。
图6 实例详情
- 方法一:单击“数据库实例”列表“操作”列的“授权”,输入数据库信息进行授权。
- 完成授权后,单击“数据库”页签,查看已授权数据库的连通状态。
资产授权完成后,该资产“连通状态”为“检查中”,此时,DSC会测试数据库的连通性。
- DSC能正常访问已添加的数据库,该数据库的“连通状态”为“成功”。
- 如果DSC不能正常访问已添加的数据库,该数据库的“连通状态”为“失败”。鼠标移动至“失败”上查看失败原因或者参照如何排查添加数据库连通性失败?解决。
相关操作
- 删除数据库实例
只有自建数据库实例支持删除,删除时实例下的授权数据库为0且元数据已被清空才可删除。
勾选多个自建数据库实例,单击实例列表左上角“批量删除”,删除实例。也可通过单击实例列表“操作”列的“删除”,删除单个实例。
- 拉取实例下的元数据
- 创建识别任务
在数据库页签,单击资产列表“操作”列的“创建识别任务”,为资产创建敏感数据识别任务识别资产,详细操作步骤请参见配置敏感数据识别任务章节
- 批量测试连通性
