對OSS內(nèi)身份證圖片中身份證號進(jìn)行脫敏
為確保存儲在私有OSS Bucket特定文件夾中包含中國內(nèi)地身份證信息的PNG、JPG、JPEG、BMP或WEBP格式圖片,在與其他用戶共享時身份證信息不被泄露,可使用數(shù)據(jù)安全中心 DSC(Data Security Center)的圖片脫敏功能。DSC支持對身份證號進(jìn)行遮蓋處理。脫敏后的圖片會自動保存到同一個OSS Bucket下與DSC脫敏任務(wù)關(guān)聯(lián)的aliyun_dsc_desensitization文件夾內(nèi)。通過設(shè)置aliyun_dsc_desensitization文件夾的訪問權(quán)限,實現(xiàn)敏感圖片的安全共享。
方案概覽
圖片脫敏樣式:
脫敏前示例 | 脫敏后示例 |
|
|
圖片脫敏的工作流程:
要實現(xiàn)以上圖片脫敏和共享,需要五步:
創(chuàng)建OSS Bucket并上傳文件:創(chuàng)建私有讀寫權(quán)限的OSS Bucket,并上傳包含中國內(nèi)地身份證信息的圖片到OSS Bucket的一個文件夾(例如
imgtest)下,該文件夾內(nèi)圖片繼承Bucket的私有權(quán)限。同步OSS Bucket到DSC:將OSS Bucket同步到DSC,無需授權(quán)連接,即可創(chuàng)建OSS圖片脫敏任務(wù)。
DSC會每天凌晨自動同步新增資產(chǎn),對于當(dāng)天創(chuàng)建的資產(chǎn),需要手動執(zhí)行資產(chǎn)同步操作。
新增脫敏任務(wù):創(chuàng)建圖片脫敏任務(wù),配置待脫敏圖片的OSS Bucket文件路徑。
啟動脫敏任務(wù):啟動任務(wù),對OSS Bucket中圖片進(jìn)行識別和脫敏,將脫敏后的圖片保存到
aliyun_dsc_desensitization文件夾中。配置RAM用戶訪問脫敏圖片:通過Bucket Policy授予指定RAM用戶只讀訪問
aliyun_dsc_desensitization/imgtest文件夾的權(quán)限,實現(xiàn)脫敏后的圖片共享。
前提條件
當(dāng)前賬號已購買數(shù)據(jù)安全中心實例并授權(quán)數(shù)據(jù)安全中心訪問其他阿里云資源。
OSS圖片脫敏是數(shù)據(jù)安全中心的增值服務(wù),實現(xiàn)圖片脫敏需要足夠的圖片脫敏數(shù)和增強圖片識別數(shù)量。本示例場景購買數(shù)據(jù)安全中心服務(wù),需要開啟圖片脫敏和增強圖片識別,購買業(yè)務(wù)需要的圖片脫敏數(shù)和增強圖片識別數(shù)量,其他服務(wù)可自行選擇是否購買。
當(dāng)前賬號已開通對象存儲OSS。
已準(zhǔn)備需要被授權(quán)的RAM用戶。RAM用戶相關(guān)內(nèi)容,請參見創(chuàng)建RAM用戶。
本示例RAM用戶通過控制臺訪問已授權(quán)的OSS圖片,RAM用戶的訪問方式需要選中控制臺訪問。
步驟一:創(chuàng)建OSS Bucket并上傳圖片
1.1 創(chuàng)建OSS Bucket
在對象存儲OSS控制臺的Bucket列表頁面,單擊創(chuàng)建Bucket。
在創(chuàng)建 Bucket面板,配置如下參數(shù),其他參數(shù)采用默認(rèn)配置,然后單擊完成創(chuàng)建。
1.2 上傳圖片到OSS Bucket的一個文件夾中
步驟二:同步OSS Bucket到DSC
在授權(quán)管理頁簽,單擊資產(chǎn)授權(quán)管理。
在資產(chǎn)授權(quán)管理面板左側(cè)產(chǎn)品名稱導(dǎo)航欄,單擊OSS。
在資產(chǎn)授權(quán)管理面板,單擊資產(chǎn)同步。
步驟三:新增脫敏任務(wù)
在數(shù)據(jù)安全中心的OSS圖片脫敏頁面,單擊創(chuàng)建脫敏任務(wù)。
在創(chuàng)建脫敏任務(wù)面板,完成圖片脫敏配置。
Bucket選擇為目標(biāo)OSS Bucket,脫敏范圍配置為存儲身份證圖片的文件夾
imgtest,啟動時間為立即執(zhí)行,配置脫敏圖片為包含身份證信息的圖片(中國內(nèi)地),脫敏方式為遮蓋。
步驟四:啟動脫敏任務(wù)
4.1 執(zhí)行任務(wù)
在OSS圖片脫敏頁面,新建的脫敏任務(wù)會自動立即執(zhí)行。
單擊操作列的詳情,等待狀態(tài)顯示為已完成,查看已成功脫敏的圖片信息。
4.2 校驗脫敏結(jié)果
前往對象存儲OSS控制臺的Bucket列表頁面,單擊目標(biāo)Bucket名稱。
通過文件夾
aliyun_dsc_desensitization/imgtest,查看已脫敏圖片,可以看到身份證號已脫敏成功。
步驟五:配置特定RAM用戶訪問已脫敏圖片
5.1 待被授權(quán)的RAM用戶查看自己的賬號ID
RAM用戶登錄阿里云控制臺,鼠標(biāo)指針移動到右上角的頭像上,復(fù)制并保存賬號ID(UID)。
RAM用戶將保存的UID發(fā)送給當(dāng)前賬號的用戶。
5.2 當(dāng)前賬號的用戶配置Bucket Policy授予RAM用戶讀取圖片的權(quán)限
當(dāng)前賬號所屬用戶在對象存儲OSS控制臺的Bucket列表頁面,單擊目標(biāo)Bucket名稱。
在Bucket頁面的左側(cè)菜單欄,單擊Bucket授權(quán)策略,然后單擊按語法策略添加。
編輯并保存以下策略內(nèi)容,授予指定RAM用戶(UID為
20214760404935xxxx)對目標(biāo)OSS Bucket(examplebucket)下指定目錄(前綴為aliyun_dsc_desensitization/imgtest)的只讀權(quán)限。{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "oss:GetBucketInfo" ], "Principal": [ "20214760404935xxxx" ], "Resource": [ "acs:oss:*:192479427903xxxx:examplebucket" ] }, { "Effect": "Allow", "Action": [ "oss:Get*" ], "Principal": [ "20214760404935xxxx" ], "Resource": [ "acs:oss:*:192479427903xxxx:examplebucket/aliyun_dsc_desensitization/imgtest/*" ] }, { "Effect": "Allow", "Action": [ "oss:ListObjects", "oss:ListObjectVersions" ], "Principal": [ "20214760404935xxxx" ], "Resource": [ "acs:oss:*:192479427903xxxx:examplebucket" ], "Condition": { "StringLike": { "oss:Prefix": [ "aliyun_dsc_desensitization/imgtest/*" ] } } }] }
5.2 已被授權(quán)的RAM用戶驗證訪問已授權(quán)的圖片
RAM用戶在對象存儲OSS控制臺,通過已授權(quán)圖片的OSS訪問地址https://oss.console.aliyun.com/bucket/oss-cn-hangzhou/examplebucket/object?path=aliyun_dsc_desensitization%2Fimgtest%2F訪問已脫敏的圖片信息。
總結(jié)
對于存儲在OSS Bucket中包含中國內(nèi)地身份證信息的圖片,可以脫敏身份證號信息后進(jìn)行共享,以免因個人身份證號泄露,造成財產(chǎn)損失、信譽損失、身份被冒用等影響。
定時脫敏任務(wù)
OSS圖片脫敏任務(wù)支持按照每天、每月某天或每周某天的凌晨的00:00:00定時觸發(fā),對增量圖片進(jìn)行識別和脫敏,以保障更新的圖片能及時被脫敏使用。
脫敏圖片的類型
DSC還支持脫敏OSS Bucket中包含車牌和人臉信息的圖片,適用更多業(yè)務(wù)場景中圖片脫敏需求,以保障OSS Bucket中圖片數(shù)據(jù)的安全共享。