策略管理

最近更新时间:2024-09-27 16:32:41

我的收藏
本文档介绍数据加解密策略的使用和操作说明。

创建策略

前提条件

已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例
已创建元数据。如未创建元数据 ,请查阅 添加元数据库添加自建数据库添加 COS 元数据
说明:
当元数据为从节点时,策略会自动同步主节点,无需创建。

操作步骤

1. 登录 控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、 CASB 实例和元数据。


3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。


4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。


说明:
选择数据表后,当其对应策略类型是主分表或次分表时,配置的加解密策略会同步到其他分表。
5. 找到所需配置的数据表,在其右侧操作栏中,单击策略配置,进入配置页面。


6. 在配置页面中,找到所需的字段,在其右侧单击配置策略,弹出配置策略窗口。
7. 在配置策略窗口中,配置所需参数,单击确定,即可完成策略的创建。



参数说明:
全量加解密:支持开启、关闭或仿真测试旁路实时模拟策略执行,支持批量加密任务模拟执行策略,可在正式启用前充分验证策略)。
加密算法:目前支持国密 SM4 和 AES 算法。
模糊查询:目前适用于 utf8mb3和 utf8mb4两种不同字符集数据的密文模糊检索算法。为支持模糊查询,密文需要存储额外的索引信息,会一定程度降低密文的安全性,请根据业务需求评估选择。
适用于 utf8mb3字符集的模糊查询:仅支持加密和模糊查询 utf8mb3字符集(即1~3字节的 utf8字符)的字符串,密文长度将额外增加原始明文长度的7倍。
适用于 utf8mb4字符集的模糊查询:支持加密和模糊查询 utf8mb4字符集(即所有 utf8字符)的字符串,密文长度将额外增加原始明文长度的21倍。
加密密钥:根据步骤2选择的元数据,系统会自动拉取对应的密钥,供您选择。如未创建加密密钥,请参见 创建密钥
注意:
配置了模糊查询策略的字段写入数据时,明文数据长度必须等于0(空)或大于等于 2,否则将写入失败。
8. 如需还对其他表或字段设置策略,重复上述操作即可。(可选)
说明:
策略配置完成后,实时加解密状态将会开启,默认是关闭。
工作模式:模式共有三种。工作模式仅当使用 Proxy 连接进行实时加解密操作时有效。
读解密,写加密。
读解密,写不解密。
读不解密,写不加密。

删除策略

前提条件

说明:
当元数据为从节点时,策略从主节点同步,禁止编辑。

操作步骤

1. 登录 控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、 CASB 实例和元数据。


3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。


4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。


5. 找到所需配置的数据表,在其右侧操作栏中,单击策略配置,进入配置页面。


6. 在配置页面中,找到所需的字段,单击

关闭实时加解密后,单击删除策略,弹出“确认删除”窗口。


说明:
选择数据表后,当其对应策略类型是主分表或次分表时,修改的加解密策略会同步到其他分表。
7. 在“确认删除”窗口中,单击确定,即可删除该策略。
说明:
策略删除后,当前字段数据将无法解密,请确认当前字段数据已全部解密。

分表配置

前提条件

已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例
已创建元数据。如未创建元数据 ,请查阅 添加元数据库添加自建数据库添加 COS 元数据
说明:
当元数据为从节点时,分表规则由主节点进行配置。

操作步骤

1. 登录 控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。


3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。


4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。


5. 找到所需设置的主分表表名,在其右侧,单击分表配置
说明:
当数据表已经配置策略,系统不支持再进行分表的配置。

6. 在规则配置页面,输入分表规则的正则表达式,用于匹配当前数据库的表名,单击下一步


7. 在规则校验页面,当分表规则匹配成功后,将会输出各个数据表的匹配情况,包括匹配成功、无法匹配以及效验失败三种情况。单击完成即可创建分表规则。


参数说明:
匹配成功:表名与分表规则正则式能成功匹配。
无法匹配:表名与分表规则正则式无法匹配。
校验失败:包含如下三种情况,当数据表处于如下情况时,将会出现校验失败,与当前主表无法实现主分表配置。
数据表已存在分表规则。
数据表的表结构不相同。
数据表已配置策略。
说明:
当规则校验存在校验失败的情况时,不支持分表的配置。
数据表已配置加解密策略,并作为主分表的情况下,当分表策略配置完成后,主分表的加解密策略会同步至其他次分表。

分表管理

前提条件

已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例
已完成 分表配置
说明:
当元数据为从节点时,分表规则由主节点进行配置、编辑。

操作步骤

1. 登录 控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。


3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。


4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。


5. 找到所需设置的主分表表名,在其右侧,单击分表配置


6. 在规则配置页面,输入分表规则新的正则表达式,用于匹配当前数据库的表名,单击下一步


7. 在规则校验页面,当分表规则匹配成功后,将会输出各个数据表的匹配情况,修改相关参数,单击完成即可修改分表规则。


参数说明:
匹配成功:表名与分表规则正则式能成功匹配。
无法匹配:表名与分表规则正则式无法匹配。
校验失败:包含如下三种情况,当数据表处于如下情况时,将会出现校验失败,与当前主分表无法实现分表配置。
数据表已存在分表规则。
数据表的表结构不相同。
数据表已配置策略。
待新增的表:与原有分表规则相比,新规则中新增加的数据表。
待取消分表关联的表:设定新分表规则后,原有规则中的数据表没有匹配成功,会被取消关联。
说明:
当规则校验存在校验失败的情况时,不支持分表的配置。
数据表已配置加解密策略,并作为主分表的情况下,当分表策略配置完成后,主分表的加解密策略会同步至其他次分表。
数据表被取消分表关联后,原有配置的加解密策略会保留。
如需取消所有次分表的关联,在主分表的匹配规则中写入主分表名称即可完成。

导入策略

前提条件

已创建 CASB 实例。如未创建 CASB 实例,请参见 创建 CASB 实例
已创建元数据。如未创建元数据 ,请查阅 添加元数据库添加自建数据库添加 COS 元数据
说明:
当元数据为从节点时,策略会自动同步主节点,无需创建。

操作步骤

1. 登录 控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。


3. 在策略管理页面中,依据所选的实例与元数据,单击导入策略
4. 在导入策略弹窗中,上传所需导入的文件,单击确定


注意:
上传的文件格式为 CSV,最大不超过10MB。
文件内容包含:数据库名、表名、字段名、加密算法、密钥编号,文件模板可在页面中单击策略模板导出进行下载。
5. 根据策略导入页面反馈确认是否上传成功,如上传失败,请根据提示进行修改调整。
说明:
如需查询策略导入的日志,了解整体的情况,可以直接前往 运维监控 > 监控日志 中进行查询。
在监控日志页面中,日志类型选择为策略变更,从而达到精准查询。