本文介紹如何使用PolarDB MySQL版的高級脫敏功能。
功能介紹
為進一步提高PolarDB MySQL版引擎的數據安全、數據脫敏等方面的安全能力,阿里云將PolarDB MySQL版集群代理(Proxy)的脫敏功能與DMS的敏感數據保護功能集成,當DMS識別到敏感數據后,會根據脫敏規則自動對數據進行脫敏,并實時同步到PolarDB的Proxy,最后通過應用程序等工具查詢數據。高級脫敏功能具有但不限于如下特性:
統一管理敏感數據
敏感數據分類分級
周期性掃描敏感數據
主動發現敏感數據
應用場景
實時從生產環境中的數據庫(即生產庫)獲取用戶已脫敏的數據來進行報表生成、數據分析、開發測試等。
前提條件
已錄入PolarDB MySQL版至DMS。錄入實例操作,請參見云數據庫錄入。
若您使用RAM用戶(子賬號)登錄PolarDB控制臺,則需保證該賬號具有管理PolarDB控制臺實例的權限。詳細信息,請參見通過自定義策略授權RAM用戶管理PolarDB。
DMS的系統角色為管理員、DBA或安全管理員。
費用說明
若開啟了DMS的敏感數據保護功能,則會收取一定的費用。費用詳情,請參見商品類型及價格。
注意事項
操作步驟
步驟一:開啟高級脫敏
- 登錄PolarDB控制臺。
- 在控制臺左上角,選擇集群所在地域。
- 找到目標集群,單擊集群ID。
在左側導航欄中選擇配置與管理 > 安全管理,單擊動態脫敏頁簽。
單擊立即開通。
若立即開通字樣變為關閉,則表示該集群已成功開啟高級脫敏功能。
說明在您錄入DMS的PolarDB MySQL版集群開啟高級脫敏功能后,數據庫代理將由PolarDB MySQL版集群提供,其在DMS的代理類型為獨享模式。
在使用引導區域下方的敏感數據列表頁簽下,單擊進入敏感數據管理。
步驟二:開啟敏感數據保護功能并進行敏感數據掃描
在實例列表中單擊立即開啟。
在開啟敏感數據保護對話框中,配置如下信息并單擊確認。
配置項
說明
立即配置掃描任務
系統默認開啟立即配置掃描任務開關。若開啟,掃描范圍為實例下的所有數據庫。
選擇掃描模板
選擇掃描模板或新建模板。新建模板的具體操作,請參見創建分類分級模板。
掃描方式
說明若開啟立即配置掃描任務,則需要選擇掃描方式。
何時開啟本次掃描任務。取值:
即時任務(單次即時生效):立即開始掃描所選實例下的數據庫。
定時任務(單次定時生效):設定某個時間開始掃描所選實例下的數據庫。
周期任務:可選擇按小時、按日、按天或按月的掃描周期,多次掃描所選實例下的數據庫。
掃描結果是否有效
該參數的取值如下:
是:立即生效。
否:暫不生效。需要您前往識別結果頁面,手動使識別結果生效。
立即生效指立即給識別結果的字段打上分類分級標簽。
在提示成功的對話框中,單擊確認。
在實例列表區域的已開啟頁簽下,單擊任務詳情,查看識別結果。
切換至PolarDB控制臺,查看掃描到的敏感字段。
您可通過表或字段兩種視圖查看敏感字段。
說明敏感等級的劃分依賴于DMS的分類分級模板設置的安全級別。更多信息,請參見管理分類分級模板。
僅被標記為密文的敏感字段,在查詢時會自動脫敏。
步驟三:通過客戶端查詢脫敏數據
通過在PolarDB控制臺配置數據庫賬號,再使用客戶端登錄配置的賬號查詢數據即可看到已脫敏的數據。以應用程序查詢數據舉例,操作步驟如下:
在PolarDB MySQL版實例控制臺使用引導區域下方的賬號列表頁簽下,單擊配置賬號。
說明脫敏數據僅針對該賬號生效,在賬號配置成功后2分鐘左右生效。若使用未配置的數據庫賬號查詢數據,查詢結果仍為明文。
打開應用程序,連接目標數據庫。
成功連接數據庫后,找到目標表,輸入并執行查詢表的語句。
執行成功后,該表中的敏感數據會以脫敏的形式呈現。