审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的DataArts Insight操作列表详见云审计服务支持的DataArts Insight操作列表说明。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计。关于如何开通云审计服务以及如何查看追踪事件，请参考《云审计服务快速入门》中的相关章节。 CTS支持配置关键操作通知。用户可将与 IAM 相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用DataArts Insight服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。

代码样例 Token认证机制支持API，用户可在二次开发样例的Producer()和Consumer()中对其进行配置。 Producer()配置的样例代码如下： public static Properties initProperties() { Properties props = new Properties(); KafkaProperties kafkaProc = KafkaProperties.getInstance(); // Broker地址列表 props.put(BOOTSTRAP_SERVER, kafkaProc.getValues(BOOTSTRAP_SERVER, "localhost:21007")); // 客户端ID props.put(CLIENT_ID, kafkaProc.getValues(CLIENT_ID, "DemoProducer")); // Key序列化类 props.put(KEY_SERIALIZER, kafkaProc.getValues(KEY_SERIALIZER, "org.apache.kafka.common.serialization.StringSerializer")); // Value序列化类 props.put(VALUE_SERIALIZER, kafkaProc.getValues(VALUE_SERIALIZER, "org.apache.kafka.common.serialization.StringSerializer")); // 协议类型:当前支持配置为SASL_PLAINTEXT或者PLAINTEXT props.put(SECURITY_PROTOCOL, kafkaProc.getValues(SECURITY_PROTOCOL, "SASL_PLAINTEXT")); // 服务名 props.put(SASL_KERBEROS_SERVICE_NAME, "kafka"); // 域名 props.put(KERBEROS_DOMAIN_NAME, kafkaProc.getValues(KERBEROS_DOMAIN_NAME, "hadoop.hadoop.com")); // 分区类名 props.put(PARTITIONER_NAME, kafkaProc.getValues(PARTITIONER_NAME, "com.huawei.bigdata.kafka.example.SimplePartitioner")); // 生成Token配置 StringBuilder token = new StringBuilder(); String LINE_SEPARATOR = System.getProperty("line.separator"); token.append("org.apache.kafka.common.security.scram.ScramLoginModule required").append(LINE_SEPARATOR); /** * 用户自己生成的Token的TOKENID */ token.append("username=\"PPVz2cxuQC-okwJVZnFKFg\"").append(LINE_SEPARATOR); /** * 用户自己生成的Token的HMAC */ token.append("password=\"pL5nHsIUODg5u0dRM+o62cOIf/j6yATSt6uaPBYfIb29dj/jbpiAnRGSWDJ6tL4KXo89dot0axcRIDsMagyN4g==\"").append(LINE_SEPARATOR); token.append("tokenauth=true;"); // 用户使用的SASL机制，配置为SC RAM -SHA-512 props.put("sasl.mechanism", "SCRAM-SHA-512"); props.put("sasl.jaas.config", token.toString()); return props; } Consumer()配置的样例代码如下： public static Properties initProperties() { Properties props = new Properties(); KafkaProperties kafkaProc = KafkaProperties.getInstance(); // Broker连接地址 props.put(BOOTSTRAP_SERVER, kafkaProc.getValues(BOOTSTRAP_SERVER, "localhost:21007")); // Group id props.put(GROUP_ID, kafkaProc.getValues(GROUP_ID, "DemoConsumer")); // 是否自动提交offset props.put(ENABLE_AUTO_COMMIT, kafkaProc.getValues(ENABLE_AUTO_COMMIT, "true")); // 自动提交offset的时间间隔 props.put(AUTO_COMMIT_INTERVAL_MS, kafkaProc.getValues(AUTO_COMMIT_INTERVAL_MS,"1000")); // 会话超时时间 props.put(SESSION_TIMEOUT_MS, kafkaProc.getValues(SESSION_TIMEOUT_MS, "30000")); // 消息Key值使用的反序列化类 props.put(KEY_DESERIALIZER, kafkaProc.getValues(KEY_DESERIALIZER, "org.apache.kafka.common.serialization.StringDeserializer")); // 消息内容使用的反序列化类 props.put(VALUE_DESERIALIZER, kafkaProc.getValues(VALUE_DESERIALIZER, "org.apache.kafka.common.serialization.StringDeserializer")); // 安全协议类型 props.put(SECURITY_PROTOCOL, kafkaProc.getValues(SECURITY_PROTOCOL, "SASL_PLAINTEXT")); // 服务名 props.put(SASL_KERBEROS_SERVICE_NAME, "kafka"); // 域名 props.put(KERBEROS_DOMAIN_NAME, kafkaProc.getValues(KERBEROS_DOMAIN_NAME, "hadoop.hadoop.com")); // 生成Token配置 StringBuilder token = new StringBuilder(); String LINE_SEPARATOR = System.getProperty("line.separator"); token.append("org.apache.kafka.common.security.scram.ScramLoginModule required").append(LINE_SEPARATOR); /** * 用户自己生成的Token的TOKENID */ token.append("username=\"PPVz2cxuQC-okwJVZnFKFg\"").append(LINE_SEPARATOR); /** * 用户自己生成的Token的HMAC */ token.append("password=\"pL5nHsIUODg5u0dRM+o62cOIf/j6yATSt6uaPBYfIb29dj/jbpiAnRGSWDJ6tL4KXo89dot0axcRIDsMagyN4g==\"").append(LINE_SEPARATOR); token.append("tokenauth=true;"); // 用户使用的SASL机制，配置为SCRAM-SHA-512 props.put("sasl.mechanism", "SCRAM-SHA-512"); props.put("sasl.jaas.config", token.toString()); return props; }

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

操作步骤 使用具有“管理员”权限的帐号（例如，administrator）登录Windows弹性云服务器。 在浏览器地址栏输入Agent安装包地址，下载并解压缩安装包。 运行“CMD命令提示符”，找到安装包所在路径。 执行.\hostguard_setup.exe /silent命令，完成安装Agent。 安装Agent成功后，建议删除Agent的安装包。 安装成功后，需要等待5~10分钟左右Agent才会自动刷新Agent状态。

日志 MRS 集群所有组件日志（如HDFS服务全部日志）支持通过主机接入的方式对接 云日志 服务。云日志服务（LTS）用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。具体对接指导请参见MRS服务如何对接云日志服务。 同时 FusionInsight Manager支持在线检索并显示组件的日志内容，用于问题定位等其他日志查看场景，详细操作指导请参见在线检索日志。FusionInsight Manager支持批量导出各个服务角色所有实例生成的日志，无需手工登录单个节点获取，详细操作指导请参见下载日志。

审计 MRS服务在管理控制台上的操作日志，例如创建或删除MRS集群的日志记录，通过云审计服务（Cloud Trace Service，CTS）实现。CTS是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录MRS的管理事件和数据事件用于审计。 图1 CTS记录MRS事件 同时FusionInsight Manager也提供了审计功能，可以记录用户对集群Manager页面操作信息。管理员可通过“审计”页面查看用户在Manager上的历史操作记录，用于安全事件中定位问题原因及划分责任。审计管理页面介绍请参见审计管理页面概述。Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。审计日志转储操作指导请参见配置审计日志转储。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构（ISO/SOC/PCI等）的安全合规认证，用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求，具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外，华为云还提供了以下销售许可证及软件著作权证书，供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题： 安全

上传数据至OBS 使用 ModelArts Pro 进行应用开发时，您需要将数据上传至OBS桶中。 首先需要获取访问OBS权限，在未进行委托授权之前，无法使用此功能。您需要提前获得OBS授权，详情请见配置访问权限。 已创建用于存储数据的OBS桶及文件夹，且数据存储的OBS桶与ModelArts Pro在同一区域（目前仅支持华为-北京四），详情请见创建OBS桶。 上传数据至OBS，OBS上传数据的详细操作请参见《 对象存储服务 快速入门》。 您在创建OBS桶时，需保证您的OBS桶与ModelArts Pro在同一个区域。 建议根据业务情况及使用习惯，选择OBS使用方法。 如果您的数据量较小（小于100MB）或数据文件较少（少于100个），建议您使用控制台上传数据。控制台上传无需工具下载或多余配置，在少量数据上传时，更加便捷高效。 如果您的数据量较大或数据文件较多，建议选择OBS Browser+或obsutil工具上传。OBS Browser+是一个比较常用的图形化工具，支持完善的桶管理和对象管理操作。推荐使用此工具创建桶或上传对象。obsutil是一款用于访问管理OBS的命令行工具，对于熟悉命令行程序的用户，obsutil是执行批量处理、自动化任务较好的选择。 如果您的业务环境需要通过API或SDK执行数据上传操作，或者您习惯于使用API和SDK，推荐选择OBS的API或SDK方法创建桶和上传对象。 上述说明仅罗列OBS常用的使用方式和工具，更多OBS工具说明，请参见《OBS工具指南》。

功能特性 数据安全中心 为您提供的功能如表1。 表1 功能概览 功能特性 说明 参考文档 资产地图 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并快速进行风险处理操作。 资产可视化 数据服务资产：涵盖了云上所有数据资产，包含OBS、RDS、 CSS 、Hive以及Hbase等。 数据风险：数据关联分级分类结果，一览展示各个数据风险级别。 分区展示：根据云上资源VPC展示各个资产所在区域，和业务区域关联。 出口可视 数据出口：识别云上关键数据出口，包含EIP/NAT/APIGateway/Roma等。 出口关联资产：云上出口和数据关联，结合分级分类结果，一览数据出口风险。 级联关联：数据出口包含直接出口和级联间接出口，不同展示方式。 策略可视 数据安全策略：云原生能力检测数据资产的安全策略，一览策略风险。 策略推荐：根据数据资产等级推荐不同的安全策略配置。 资产地图 资产管理 资产中心：DSC支持管理OBS、数据库、大数据和MRS数据资产。 资产目录：查看不同业务域或不同类型数据的统计信息。 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 元数据任务：用户可以创建元数据任务扫描数据资产，数据资产信息会以元数据的形式被采集、收纳到DSC中，后续用户可以对数据资产进行分级分类管理。 资产分组管理：对现有数据进行分组管理。 资产管理 敏感数据识别 数据自动分级分类：精确识别敏感数据和文件，覆盖结构化（RDS、DWS等）和非结构化（OBS）两种数据类型，实现云上全场景覆盖。 文件类型：支持近200种非结构化文件。 数据类型：支持数十种个人隐私数据类型，包含中英文。 图片类型：支持识别（png、jpeg、x-portable-pixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。 合规模板：多种内置合规知识库，如GDPR，PCI DSS，HIPAA等。 自动识别敏感数据 自动识别敏感数据及个人隐私数据。 支持自定义规则，场景适配不同行业。 提供可视化识别结果。 DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定，具体请参见DSC扫描时长。 新建敏感数据识别任务 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。 DSC的数据脱敏特点： 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 支持云上各类场景：支持RDS，E CS 自建数据库，大数据合规。 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持的脱敏算法详见脱敏算法。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 同时，DSC提供了数据动态脱敏的API接口供您使用，具体请参考数据动态脱敏。 DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch、MRS、Hive、HBase以及 DLI 数据进行脱敏，具体的脱敏时长请参见DSC脱敏时长。 配置脱敏规则 数据水印 针对数据库、文档以及图片提供了注入和提取水印的功能。 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用，具体请参考API接口参考。 水印注入 态势大屏 数据安全中心默认提供一个综合 态势感知 大屏，对云上风险资产、识别任务、脱敏任务、水印任务、事件、告警等信息进行综合展示和分析，实现一屏全面感知，帮助用户快速识别资产综合态势，对风险资产和紧急告警快速做出响应。 态势大屏 告警管理 当DBSS有系统或者业务方面的风险告警事件时，会将告警事件推送到DSC，用户可以在DSC控制台确认相关的告警事件。 告警管理 事件管理 数据安全中心对接数据库审计、 云堡垒机 等安全组件，对各组件事件进行统一管理，会将事件实时推送到DSC，用户可以对事件进行确认和处理。也可以将告警页面的告警转事件。 事件管理 OBS使用审计 数据安全中心服务根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。 OBS使用审计 设备管理 设备管理的作用是纳管第三方设备，包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备，进行状态监控和告警展示，将风险和告警呈现给客户。 用户可单击DSC设备列表“操作”列“登录”，跳转到第三方设备管理页面。 设备管理 多账号管理 开启多账号管理功能后，安全管理员在安全运营账号中对所有成员账号进行统一的数据安全防护，而无需逐个登录到成员账号。 多账号管理 告警通知 通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，DSC会将其检测结果通过用户设置的接收通知方式发送给用户。 告警通知

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录了数据安全中心相关的操作事件，方便用户日后的查询、审计和回溯。 表1 云审计服务支持的DSC操作列表 操作名称 资源类型 事件名称 授权或者取消对DSC的授权 dscGrant grantOrRevokeTodsc 添加OBS桶资产 dscObsAsset addBuckets 删除OBS桶资产 dscObsAsset deleteBucket 添加数据库资产 dscDatabaseAsset addDatabase 修改数据库资产 dscDatabaseAsset updateDatabase 删除数据库资产 dscDatabaseAsset deleteDatabase 添加大数据资产 dscBigdataAsset addBigdata 修改大数据资产 dscBigdataAsset updateBigdata 删除大数据资产 dscBigdataAsset deleteBigdata 更新对象名称 dscAsset updateAssetName 下载批量添加模板 dscBatchImportTemplate downloadBatchImportTemplate 批量添加数据库 dscAsset batchAddDatabase 批量添加资产 dscAsset batchAddAssets 展示异常事件 dscExceptionEvent listExceptionEventInfo 获取异常事件详细信息 dscExceptionEvent getExceptionEventDetail 添加告警配置 dscAlarmConfig addAlarmConfig 修改告警配置 dscAlarmConfig updateAlarmConfig 下载报表 dscReport downloadReport 删除报表 dscReport deleteReport 添加扫描规则 dscRule addRule 修改扫描规则 dscRule editRule 删除扫描规则 dscRule deleteRule 添加扫描规则组 dscRuleGroup addRuleGroup 修改扫描规则组 dscRuleGroup editRuleGroup 删除扫描规则组 dscRuleGroup deleteRuleGroup 添加扫描任务 dscScanTask addScanJob 修改扫描任务 dscScanTask updateScanJob 删除扫描子任务 dscScanTask deleteScanTask 删除扫描任务 dscScanTask deleteScanJob 启动扫描任务 dscScanTask startJob 停止扫描任务 dscScanTask stopJob 启动扫描子任务 dscScanTask startTask 停止扫描子任务 dscScanTask stopTask 启用/停用ES脱敏 dscBigDataMaskSwitch switchBigDataMaskStatus 获取ElasticSearch field信息 dscBigDataMetaData getESField 添加ES脱敏模板 dscBigDataMaskTemplate addBigDataTemplate 编辑ES脱敏模板 dscBigDataMaskTemplate editBigDataTemplate 删除ES脱敏模板 dscBigDataMaskTemplate deleteBigDataTemplate 查询ES脱敏模板列表 dscBigDataMaskTemplate showBigDataTemplates 启动/停止ES脱敏模板 dscBigDataMaskTemplate operateBigDataTemplate 切换ES脱敏模板状态 dscBigDataMaskTemplate switchBigDataTemplate 启用/停用数据库脱敏 dscDBMaskSwitch switchDBMaskStatus 获取数据库字段信息 dscDBMetaData getColumn 添加数据库脱敏模板 dscDBMaskTemplate addDBTemplate 修改数据库脱敏模板 dscDBMaskTemplate editDBTemplate 删除数据库脱敏模板 dscDBMaskTemplate deleteDBTemplate 查询数据库脱敏模板列表 dscDBMaskTemplate showDBTemplates 启动/停止数据库脱敏模板 dscDBMaskTemplate operateDBTemplate 切换数据库脱敏模板状态 dscDBMaskTemplate switchDBTemplate 添加脱敏算法 dscMaskAlgorithm addMaskAlgorithm 编辑脱敏算法 dscMaskAlgorithm editMaskAlgorithm 删除脱敏算法 dscMaskAlgorithm deleteMaskAlgorithm 测试脱敏算法 dscMaskAlgorithm testMaskAlgorithm 获取字段与脱敏算法的映射关系 dscMaskAlgorithm getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig deleteEncryptConfig

修订记录 发布日期 修改说明 2024-06-30 第三十次正式发布。 修改使用约束章节，新增支持云服务LTS。 2024-06-10 第二十九次正式发布。 修改功能特性章节。 2024-04-15 第二十八次正式发布。 修改功能特性章节。 2024-01-15 第二十八次正式发布。 修改使用约束章节。 2023-11-30 第二十七次正式发布。 修改功能特性章节。 2023-09-30 第二十六次正式发布。 修改功能特性章节。 2023-06-30 第二十五次正式发布。 修改功能特性章节。 2023-03-30 第二十四次正式发布。 修改功能特性章节。 2023-01-31 第二十三次正式发布。 修改个人数据保护机制章节。 2023-01-16 第二十二次正式发布。 修改功能特性章节。 2022-11-09 第二十一次正式发布。 增加安全章节。 2022-09-30 第二十次正式发布。 修改功能特性章节。 2022-03-11 第十九次正式发布。 修改功能特性章节，优化相关描述。 2022-01-26 第十八次正式发布。 增加“图解数据安全中心”章节。 2021-12-28 第十七次正式发布。 修改如下章节： 规格版本差异 2021-09-22 第十六次正式发布。 修改计费说明章节。 2021-09-14 第十五次正式发布。 修改功能特性章节。 修改计费说明章节。 2021-06-18 第十四次正式发布。 修改与其他云服务的关系章节，增加与裸金属服务器的关系。 修改使用约束章节，支持的数据库类别增加裸金属服务器。 2021-05-18 第十三次正式发布。 修改使用约束章节，增加厂商的相关描述。 2021-04-30 第十二次正式发布。 修改功能特性章节，敏感数据识别增加图片类型。 修改使用约束章节，feedback问题修改。 2021-03-11 第十一次正式发布。 修改功能特性章节。 2021-02-27 第十次正式发布。 修改计费说明章节，DSC正式商用。 增加规格版本差异章节。 2021-02-19 第九次正式发布。 修改使用约束章节，增加了RDS数据库的使用限制。 2021-02-03 第八次正式发布。 修改使用约束章节，MySQL数据库支持8.0版本。 2021-01-13 第七次正式发布。 修改功能特性章节，增加了数据脱敏和水印的功能。 2021-01-04 第六次正式发布。 修改1.13-DSC权限管理章节，增加了DSC的系统策略。 2020-12-18 第五次正式发布。 增加使用约束章节。 2020-12-14 第四次正式发布。 增加个人数据保护机制章节。 2020-11-26 第三次正式发布。 优化与其他云服务的关系，增加了与 数据湖 服务的关系。 2020-11-16 第二次正式发布。 优化功能特性章节。 2020-09-30 第一次正式发布。

DSC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DSC部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DSC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DSC服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示，包括了DSC下所有的系统角色。 表1 DSC系统权限 角色名称 描述 类别 依赖关系 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 系统策略 无 DSC FullAccess 数据安全中心服务所有权限。 系统策略 购买RDS包周期实例需要配置授权项： bss:order:update bss:order:pay DSC ReadOnlyAccess 数据安全中心服务只读权限。 系统策略 无 用户在执行云资源委托授权/停止授权时必须拥有IAM的管理员权限（“Security Administrator”权限）。

身份认证和访问控制 身份认证 用户访问DSC的方式有多种，包括DSC控制台、API、SDK，无论访问方式封装成何种形式，其本质都是通过DSC提供的REST风格的API接口进行请求。 DSC的接口需要经过认证请求后才可以访问成功。DSC支持两种认证方式： Token认证：通过Token认证调用请求，访问DSC控制台默认使用Token认证机制。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。 关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。 访问控制 DSC支持通过权限控制（IAM权限）进行访问控制。 表1 DSC访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。 IAM产品介绍 DSC权限管理 DSC权限管理（细粒度） 父主题： 安全