华为云用户手册

规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-port-check 规则展示名 RDS实例默认端口检查 规则描述 RDS实例的端口包含被禁止的端口，视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 blockedPortsForMysql：指定MySQL数据库禁止的端口列表，数组类型。 blockedPortsForMariadb：指定MariaDB数据库禁止的端口列表，数组类型。 blockedPortsForPostgresql：指定PostgreSQL数据库禁止的端口列表，数组类型。 blockedPortsForSqlserver：SQLServer数据库禁止的端口列表，数组类型。

通用限制 表1 通用限制说明 指标 限制说明 浏览器 目前适配的主流浏览器类型包括： Chrome浏览器：支持最新的3个稳定版本。 Firefox浏览器：支持最新的3个稳定版本。 Microsoft Edge浏览器：Win10默认浏览器，支持最新的3个稳定版本。 推荐使用Chrome、Firefox浏览器，效果会更好。 分辨率 推荐使用1920*1080及以上。 已支持的华为云区域 华北-北京四、华东-上海一、华南-广州、西南-贵阳一、东北-大连、华南-深圳 说明： 只支持默认区域，不支持通过 统一身份认证 服务（ IAM ）创建的项目（子区域）。 除了以上Region，CodeArts还支持“华北-北京一”与“华东-上海二”，但这两个区域已暂停新用户新购服务（详情请参见华北-北京一区域变更通知、华东上海二区域变更通知）。

各服务使用限制 表2 服务使用限制 服务名称 限制说明 需求管理 参考需求管理约束与限制。 架构建模 参考架构建模约束与限制。 代码托管 参考代码托管约束与限制。 流水线 参考流水线约束与限制。 代码检查 参考代码检查约束与限制。 编译构建 参考编译构建约束与限制。 制品仓库 参考制品仓库约束与限制。 部署 参考部署约束与限制。 测试计划 参考测试计划约束与限制。 性能测试 参考性能测试约束与限制。 漏洞管理服务 参考漏洞管理服务使用约束。 智能开发助手 参考智能开发助手约束与限制。 开源治理服务 参考开源治理服务约束与限制。 联接 参考联接约束与限制。

IAM细粒度权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 表1展示了CodeArts各服务支持的所有系统策略。 表1 CodeArt系统权限 服务 系统角色/策略名称 描述 类别 策略详情 CodeArts控制台 DevCloud Console FullAccess 软件开发生产线控制台全部权限。 系统策略 参考CodeArts控制台权限说明。 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限。 系统策略 需求管理 ProjectMan ConfigOperations 软件开发生产线项目配置的所有权限。 系统策略 参考需求管理云服务级权限。 流水线 CloudPipeline Tenant Extensions FullAccess 流水线服务租户扩展插件全部权限。 系统策略 参考流水线租户级权限。 CloudPipeline Tenant Pipeline Templates FullAccess 流水线服务租户流水线模板全部权限。 系统策略 CloudPipeline Tenant Rule Templates FullAccess 流水线服务租户策略设置全部权限。 系统策略 CloudPipeline Tenant Rules FullAccess 流水线服务租户规则设置全部权限。 系统策略 性能测试 CodeArts PerfTest Administrator 性能测试服务管理员，拥有该服务下的所有权限。 系统角色 参考性能测试权限管理。 CodeArts PerfTest Developer 性能测试服务开发人员，拥有该服务下当前用户的所有权限，但无权操作租户下其他用户的资源。 系统角色 CodeArts PerfTest Operator 性能测试服务操作员，拥有该服务下的只读权限。 系统角色 CodeArts PerfTest Resource Administrator 性能测试服务测试资源管理员，拥有该服务下测试资源相关的所有权限。 系统角色 CodeArts PerfTest Resource Developer 性能测试服务测试资源开发者，拥有该服务下测试资源查看和使用权限，但无基础设施创建、更新、删除权限。 系统角色 漏洞管理服务 VSS Administrator 漏洞管理服务管理员，拥有该服务下的所有权限。 系统角色 参考漏洞管理服务权限管理。 VSS ReadOnlyAccess 漏洞管理服务只读权限。 系统策略 VSS UseOnlyAccess 漏洞管理服务的使用权限（无法更新 漏洞扫描服务 订单）。 系统策略 CodeArts IDE Online CloudIDE FullAccess CodeArts IDE Online所有权限。 系统策略 参考CodeArts IDE Online权限说明。 CloudIDE ReadOnlyAccess CodeArts IDE Online只读权限。 系统策略 CloudIDE InstanceManagement CodeArts IDE Online实例管理权限，用户可以管理自己拥有的实例、访问被分发给自己的实例。 系统策略 CloudIDE Development CodeArts IDE Online开发权限，包括查看、启动、停止、访问实例等操作。 系统策略 CodeArts IDE CodeArts IDE FullAccess CodeArts IDE全部权限。 系统策略 参考CodeArts IDE权限说明。 CodeArts IDE ReadOnly CodeArts IDE只读权限。 系统策略

策略语法 如下以 云桌面 服务的“Workspace Administrator”为例，说明RBAC策略语法。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "WKS:workspaces:*", "WKS:desktops:*", "WKS:users:*", "WKS:policies:*", "WKS:products:*" ] } ], "Depends": [ { "catalog": "VPC", "display_name": "VPC Administrator" }, { "catalog": "BASE", "display_name": "Server Administrator" }, { "catalog": "BASE", "display_name": "Tenant Guest" } ] } 表1 参数说明 参数 含义 值 Version 策略的版本。 固定为“1.0”。 Statement Action 定义对云桌面的具体操作。 格式为：服务名:资源类型:操作 “workspaces:*:*”，表示对云桌面的所有操作，其中workspaces为服务名称；“*”为通配符，表示对所有的资源类型可以执行所有操作。 Effect 定义Action中所包含的具体操作是否允许执行。 Allow：允许执行。 Deny：不允许执行。 Depends catalog 依赖的策略的所属服务。 服务名称。 例如：BASE。 display_name 依赖的策略的名称。 权限名称 例如：Tenant Administrator。

操作步骤 参考云备份服务《快速入门》手册快速创建SFS Turbo备份章节。 创建云桌面备份存储库时，请选择需要备份的云桌面。 参考云备份服务《快速入门》手册参考快速创建云桌面备份章节。 云桌面处于“可用”或“正在使用”状态才可进行备份，如果对云桌面进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 如果在备份过程中对云桌面的数据进行删除等操作，被删除的文件可能不会被备份成功。为了保证数据完整性，建议备份完成后再对数据进行操作再重新执行备份。

前提条件 已购云桌面。 管理员账号已具备云备份服务操作权限。 自主注册的华为账号默认拥有华为云所有服务的操作权限，如果您使用的是此类账号，无需再进行确认。 华为账号下新建的IAM账号，需要加入“admin”内置用户组，或者拥有云备份服务操作权限的用户组，才可使用云备份服务。可进入“统一身份认证服务”中查看是否属于“admin”内置用户组。如果非“admin”内置用户组，请参见云备份服务授权赋予IAM账号使用云备份服务的权限。

步骤四：为子 域名 添加A记录集 如果要实现通过域名“www.example.com”访问网站，则为域名“example.com”的子域名添加A类型记录集。 在“公网域名”页面的域名列表的“域名”列，单击域名的名称“example.com”。 进入“解析记录”页面。 在页面右上角，单击“添加记录集”。 在“添加记录集”页面，根据界面提示为域名“example.com”设置A记录集参数。 主机记录：设置为“www”，表示解析的域名为子域名“www.example.com”。 类型：设置为A类型记录集。 值：设置为网站服务器的弹性公网IP。 其余参数取默认值，更多参数说明，请参见添加A类型记录集。 图4 添加记录集 表3 子域名A类型记录集参数说明 参数 示例 参数说明 主机记录 www 解析域名的前缀。 例如创建的域名为“example.com”，其“主机记录”设置包括： www：用于网站解析，表示解析的域名为“www.example.com”。 空：用于网站解析，表示解析的域名为“example.com”。 主机记录置为空，还可用于为空头域名“@”添加解析。 abc：用于子域名解析，表示解析的域名为“example.com”的子域名“abc.example.com”。 mail：用于邮箱解析，表示解析的域名为“mail.example.com”。 *：用于泛解析，表示解析的域名为“*.example.com”，匹配“example.com”的所有子域名。 类型 A – 将域名指向IPv4地址 记录集的类型，此处为A类型。 添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 详细内容请参见为什么会提示解析记录集已经存在？。 别名 否 用于是否将此记录集关联至云服务资源实例。 是：为此记录集关联云服务资源实例。 否：不为此记录集关联云服务资源实例。 别名记录 - “别名”参数设置选择“是”时，该项必选。 用于设置记录集关联的华为云服务资源实例。 记录集支持关联的华为云服务资源实例包括：云速建站、 Web应用防火墙 。 线路类型 全网默认 解析的线路类型用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 默认值为“全网默认”。 仅支持为公网域名的记录集配置此参数。 全网默认：默认线路类型，当未根据访问者来源设置解析线路时，系统会返回默认解析结果。 运营商线路解析：根据访问者所在运营商，设置解析线路。 地域解析：根据访问者所在地域，设置解析线路。 自定义线路：根据访问者所属IP网段，设置解析线路。 TTL(秒) 5分钟，即300s。 解析记录在本地DNS服务器的缓存时间，以秒为单位。 默认值为“300秒”。取值范围为：1~2147483647 如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 更多TTL相关内容请参见什么是TTL值？。 值 192.168.12.2 192.168.12.3 域名对应的IPv4地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 权重 1 可选参数，返回解析记录的权重比例。默认值为1，取值范围：0~1000。 仅支持为公网域名的记录集配置此参数。 当域名在同一解析线路中有多条相同类型的解析记录时，可以通过“权重”设置解析记录的响应比例。 标签 example_key1 example_value1 可选参数，记录集的标识，包括键和值，每个记录集可以创建20个标签。 描述 - 可选参数，对域名的描述。 长度不超过255个字符。 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

服务韧性 DBSS提供四层可靠性架构，通过检测、承受、恢复和适应四个方面保障系统在收到攻击后可以手动、自动恢复服务能力，保障服务和数据的持久性和可靠性。 表1 DBSS可信架构分类 可信架构分类 可信架构能力项 目标 分类 检测 入侵检测 支持主机异常检测，部署主机安全服务，检测率准确率98%以上。检测时长1分钟 安全 监控 针对微服务的异常日志出对应的告警 系统 承受 数据备份 支持关键数据100%备份，即使数据库遭到完全损坏，也可以根据以前备份数据恢复业务。 用户业务日志备份到OBS 系统 快速响应 AZ级或Region级服务故障时，快速检测和恢复。DBSS本身属于旁路业务，不会影响业务系统。 系统 服务解耦 微服务化，微服务独立部署和启停 系统 恢复 虚机级恢复 虚机级恢复：单虚拟机故障，支持自动重建和手工重建 系统 系统级恢复 系统级的恢复：自动恢复和系统手工恢复能力。 系统 适应 密钥自动轮转 SCC密钥动态轮转 安全 证书自动轮转 内部微服务通信证书动态轮转 安全 账号口令自动轮转 服务账号口令动态轮转 安全 父主题： 安全

审计与日志 审计 DBSS向用户提供数据库审计功能，可以对普通用户、管理员账户的所有活动情况进行审计，并生成合规性报告。DBSS通过记录流量、入侵、异常监控、数据脱敏、远程工作等日志，锁定异常操作到人，对特定事件实时告警，对TOP活动进行可视化呈现，满足ISO27001、信息安全等级保护测评等合规场景下对数据库审计的要求。 表1 DBSS审计功能 功能特性 功能详情 系统行为审计 系统操作行为全纪录，针对您设置的高、中、低风险行为、发送告警通知。 SQL注入检测：DBSS提供“添加SQL注入规则”，您可根据需要自定义添加对应的SQL规则，添加后可以对成功连接数据库安全审计的所有数据进行安全审计。 风险操作检测：DBSS内置了“数据库拖库检测”和“数据库慢SQL检测”两条检测规则，帮助您及时发现数据库安全风险。同时，您也可以通过添加风险操作，自定义数据库需要审计的风险操作规则。 告警通知：通过配置系统告警，针对系统操作和系统环境制定不同告警方式和告警级别，以邮件方式和系统消息方式推送告警通知，以便及时发现系统异常和用户异常操作。 同时DBSS已经接入 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录DBSS的管理事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的DBSS操作列表，请参见云审计服务支持的DBSS操作列表。 日志 出于分析或审计等目的，用户开启了云审计服务后，系统开始记录DBSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 关于DBSS云审计日志的查看，请参见如何查看云审计日志。 父主题： 安全

数据保护技术 DBSS通过多种数据保护手段和特性，保证审计、存储在DBSS中的数据安全可靠。 表1 DBSS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） DBSS支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 构造请求 个人数据保护 DBSS通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 个人数据保护机制 隐私数据保护 DBSS会对存储的用户审计数据进行敏感数据脱敏。 管理隐私数据保护规则 数据备份 DBSS支持用户手动、自动备份审计日志。备份日志后，审计日志将备份到OBS中。 备份和恢复数据库审计日志 数据销毁 DBSS在用户主动删除实例，或用户销户的情况下，会删除对应用户的审计实例。 - 父主题： 安全

身份认证与访问控制 身份认证 用户访问DBSS的方式有多种，包括DBSS控制台、API、SDK，无论访问方式封装成何种形式，其本质都是通过DBSS提供的REST风格的API接口进行请求。 DBSS的接口需要经过认证请求后才可以访问成功。DBSS支持如下认证方式： Token认证：通过Token认证调用请求，访问DBSS控制台默认使用Token认证机制。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。 关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。 访问控制 DBSS支持通过权限控制（IAM权限）进行访问控制。 表1 DBSS访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。 IAM权限介绍 DBSS权限管理 DBSS权限管理（细粒度） 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

支持免安装Agent数据库类型及版本 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4kb审计时会被截断，会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB (for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2

支持安装Agent数据库类型及版本 支持的数据库类型及版本如表2所示。 表2 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.30 8.0.35 8.1.0 8.2.0 Oracle (因Oracle为闭源协议，适配版本复杂，如您需审计Oracle数据库，请先联系客服人员) 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 12 13 14 SQL Server 2008 2012 2014 2016 2017 GaussDB(for MySQL) MySQL 8.0 DWS 1.5 8.1 DAMENG DM8 KINGBASE V8 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB 1.3企业版 1.4企业版 2.8企业版 3.223企业版 MongoDB V5.0 DDS 4.0 Hbase （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.3.1 2.2.3 Hive （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.2.2 2.3.9 3.1.2 3.1.3 MariaDB 10.6 TDSQL 10.3.17.3.0

其他约束条件 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 购买数据库安全审计配置VPC时，需与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？ 部分SQLserver中的复杂declare语句、select函数和包含系统无法识别的符号语句可能无法解析。

Agent支持的操作系统 使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上。 数据库安全审计的Agent支持的Linux系统版本如表3所示。 表3 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) CentOS 7.8 (64bit) CentOS 7.9 (64bit) CentOS 8.0 (64bit) CentOS 8.1 (64bit) CentOS 8.2 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Debian 10.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) Fedora 29 (64bit) Fedora 30 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)（华为云审计实例：23.02.27.182148 及其之后的版本支持） EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit) Euler 2.5 (64bit) OpenEuler OpenEuler 20.03 (64bit) Oracle Linux Oracle Linux 6.9 (64bit) Oracle Linux 7.4 (64bit) Red Hat Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin NeoKylin 7.0 (64bit) Kylin Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) Huawei Cloud Euler Huawei Cloud Euler 2.0 (64bit) KylinSec KylinSec 3.4（64bit） Anolis OS 7.9（64bit） 8.4（64bit） 8.6（64bit） 数据库安全审计的Agent支持的Windows系统版本如下所示： Windows Server 2008 R2(64bit) Windows Server 2012 R2(64bit) Windows Server 2016(64bit) Windows Server 2019(64bit) Windows 7(64bit) Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 Npcap下载链接：https://npcap.com/#download 图1 Npcap not found

服务版本规格 数据库安全审计提供了入门版、基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。 各版本的性能规格说明如表1所示。 表1 数据库安全审计版本性能规格说明 版本 支持的数据库实例 性能参数 入门版 最多支持1个数据库实例 吞吐量峰值：1,000条/秒 入库速率：120万条/小时 1亿条在线SQL语句存储 基础版 最多支持3个数据库实例 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQL语句存储 专业版 最多支持6个数据库实例 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQL语句存储 高级版 最多支持30个数据库实例 吞吐量峰值：30,000条/秒 入库速率：1,080万条/小时 15亿条在线SQL语句存储 数据库实例通过数据库IP+数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。 例如：用户有2个数据库资产分别为IP1和IP2，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 不支持修改规格。若要修改，请退订后重购。 云原生版仅支持在RDS控制台购买。 本表中的系统资源要求，是指购买数据库安全审计实例时会消耗的系统资源。购买时，用户的系统需要满足审计版本对应的配置。 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

DBSS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DBSS部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问DBSS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对E CS 服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），DBSS支持的API授权项请参见策略支持的授权项。 如表1所示，包括了DBSS的所有系统角色。 表1 DBSS系统角色 角色名称 描述 依赖关系 DBSS System Administrator （数据库安全服务系统管理员，拥有操作数据库安全服务系统资源的权限） 数据库安全审计操作权限： 购买实例。 开启、关闭、重启实例。 获取实例列表。 获取基本信息。 获取审计概况。 获取监控信息。 获取操作日志。 数据库管理。 Agent管理。 邮件设置。 备份与恢复。 进行付费操作（例如，购买DBSS实例、续费）时需要同时具有BSS Administrator角色、VPC Administrator角色和ECS Administrator角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。 DBSS Audit Administrator （数据库安全服务审计管理员，拥有审核数据库安全服务日志信息的权限） 数据库安全审计操作权限： 获取实例列表。 获取基本信息。 获取审计概况。 获取报表结果。 获取规则信息。 获取语句信息。 获取会话信息。 获取监控信息。 获取操作日志。 获取数据库列表。 报表管理。 无 DBSS Security Administrator （数据库安全服务安全管理员，拥有设置数据库安全服务安全策略的权限） 数据库安全审计操作权限： 获取实例列表。 获取基本信息。 获取审计概况。 获取报表结果。 获取规则信息。 获取语句信息。 获取会话信息。 获取监控信息。 获取操作日志。 获取数据库列表。 审计规则设置。 告警通知设置。 报表管理。 无 表2列出了DBSS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 子服务 操作 DBSS System Administrator DBSS Audit Administrator DBSS Security Administrator 数据库安全审计 购买实例 √ × × 开启、关闭、重启实例 √ × × 获取实例列表 √ √ √ 获取基本信息 √ √ √ 获取审计概况 √ √ √ 获取监控信息 √ √ √ 获取操作日志 √ √ √ 数据库管理 √ × × Agent管理 √ × × 邮件设置 √ × × 备份与恢复 √ × × 获取报表结果 × √ √ 获取规则信息 × √ √ 获取语句信息 × √ √ 获取会话信息 × √ √ 获取数据库列表 √ √ √ 报表管理 × √ √ 审计规则设置 × × √ 告警通知设置 × × √

产品优势 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 部署简单 采用数据库旁路部署方式，操作简单，快速上手。 全量审计 支持对华为云上的RDS、ECS/BMS自建的数据库进行审计。 快速识别 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。 高效分析 每秒万次入库、海量存储、亿级数据秒级响应。 多种合规 满足等保三级数据库审计需求。 满足网安法，SOX等国内外法案。 三权分立 系统管理员，安全管理员，审计管理员权限分离，满足审计安全需求。 细粒度和运维权限管控 数据库运维安全管理系统访问控制基于主体、客体和行为三元组进行设置，每个类别之下再细分多种维度。策略组合种类多达数百种，能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达操作、特权操作、SQL语句、异常、存储过程等。 强大的内置威胁特征库 数据库运维安全管理系统内置丰富的数据库漏洞信息、SQL注入攻击、以及其它高危风险操作特征模板（其中数据库漏洞数超过600个，高危操作、SQL注入攻击特征超过200个，数据库风险配置策略超过200个），能够精准检测数据库风险操作，并定位至具体用户、实时阻断，保障客户数据资产安全。 灵活的保护对象及策略 数据库运维安全管理系统支持针对数据资产进行分级管控。通过策略配置，使得用户可以灵活定义被保护的对象，包括库、表、字段、记录、关键字、条件等。可以针对上述被保护的对象设置严格管控策略，非经审批不可改、不可删甚至不可见。

功能特性 数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。 用户行为发现审计 关联应用层和数据库层的访问操作。 提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，账号密码）在控制台上以明文显示。 多维度线索分析 行为线索 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。 会话线索 支持根据时间、数据库用户、客户端等多角度进行分析。 语句线索 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。 风险操作、SQL注入实时告警 风险操作 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。 SQL注入 数据库安全审计提供SQL注入库，可以基于SQL命令特征或风险等级，发现数据库异常行为立即告警。 系统资源 当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警。 针对各种异常行为提供精细化报表 会话行为 提供客户端和数据库用户会话分析报表。 风险操作 提供风险分布情况分析报表。 合规报表 提供满足数据安全标准（例如Sarbanes-Oxley）的合规报告。 数据加密 系统支持对数据进行加密和完整性校验，满足等保、分保等评测要求，同时也满足商用密码系统应用与安全性评估的存储数据完整性和机密性保障的评测要求。 加密算法：支持AES算法和SM4国密算法。 完整性校验算法：支持AES-GCM算法和SM3-HMAC算法。 访问控制 系统具有独立于数据库的访问授权机制，拥有合法访问权限可以访问加密数据，非授权用户无法访问加密数据，从而有效防止管理员越权访问及黑客拖库。 系统支持系统管理员，安全管理员，审计管理员的三权分立管理，增强数据库使用的安全合规性 数据库运维 数据库运维安全管理系统具有支持丰富的数据库类型、细粒度的运维权限管控、丰富的内置威胁特征库、支持集群化等优势。

与 云监控服务 的关系 云监控 服务（Cloud Eye）为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常报警做出反应，保证业务顺畅运行。详情请参见《云监控服务用户指南》 表2 云监控服务支持的DBSS监控指标 指标名称 指标含义 取值范围 测量对象 监控周期 SQL注入告警个数 该指标用于统计测量对象的SQL注入告警个数 ≥0 count 弹性云服务器 4分钟 XSS跨站脚本漏洞告警个数 该指标用于统计测量对象的XSS跨站脚本漏洞告警个数 ≥0 count 弹性云服务器 4分钟 Webshell上传告警个数 该指标用于统计测量对象的Webshell上传告警个数 ≥0 count 弹性云服务器 4分钟 盗链告警个数 该指标用于统计测量对象的盗链告警个数 ≥0 count 弹性云服务器 4分钟 IP黑名单告警个数 该指标用于统计测量对象的IP黑名单告警个数 ≥0 count 弹性云服务器 4分钟 IP白名单告警个数 该指标用于统计测量对象的IP白名单告警个数 ≥0 count 弹性云服务器 4分钟

与 消息通知 服务的关系 消息通知服务（Simple Message Notification，简称 SMN ），是一个可拓展的高性能消息处理服务。 开启消息通知前，您需先配置“消息通知服务”。 开启消息通知服务后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的消息通知。 在“告警通知”界面，您可以根据运维计划开启告警消息通知或关闭告警消息通知。 在“报表管理”界面，您可以根据运维计划开启报表生成消息通知或关闭报表生成消息通知。 关于SMN的详细内容，请参见《消息通知服务用户指南》。

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录数据库安全服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的数据库安全服务操作列表 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance 实例状态变化 dbss cloudServiceInstanceStatus 创建包周期实例 dbss cloudServiceInstanceCreate 实例元数据变化 dbss updateMetaData 更新实例 dbss upgradeInstance CBC调用云服务接口更新实例状态 dbss cloudServiceInstanceStatus CBC通知云服务订单发生变化 dbss updateMetaData 包周期购买实例 dbss cloudServiceInstanceCreate 添加标签 dbss createTag 删除标签 dbss deleteTag

服务特点 助力企业满足等保合规要求 满足等保测评数据库审计需求 满足国内外安全法案合规需求，提供满足数据安全标准（例如Sarbanes-Oxley）的合规报告 支持备份和恢复数据库审计日志，满足审计数据保存期限要求 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的前提下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

支持的数据库 数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能： 云数据库 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4KB审计时会被截断，会导致审计到的SQL语句不完整。 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持 数据库安全审计支持数据库类型及版本如表2所示。 表2 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.30 8.0.35 8.1.0 8.2.0 Oracle (因Oracle为闭源协议，适配版本复杂，如您需审计Oracle数据库，请先联系客服人员) 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 12 13 14 SQL Server 2008 2012 2014 2016 2017 GaussDB(for MySQL) MySQL 8.0 DWS 1.5 8.1 DAMENG DM8 KINGBASE V8 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB 1.3企业版 1.4企业版 2.8企业版 3.223企业版 MongoDB V5.0 DDS 4.0 Hbase （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.3.1 2.2.3 Hive （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.2.2 2.3.9 3.1.2 3.1.3 MariaDB 10.6 TDSQL 10.3.17.3.0

免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4kb审计时会被截断，会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB(for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2 免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异： 统计会话数量时，无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl，用户需要参照GaussDB用户手册操作开启如下配置： audit_system_object = 130023423，操作请参考：GaussDB开发指南。 datastyle=ISO,YMD，保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

步骤六：验证Agent与数据库安全审计实例之间的网络通信正常 待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。 在左侧导航树中，选择“总览”，进入“总览”界面。 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 选择“语句”页签。 SQL语句列表将显示登录数据库操作的记录，如图10所示。 如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。 图10 查看SQL语句

步骤七：查看审计结果 验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。 查看总览信息。 进入总览入口，如图11所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 图11 进入总览入口 生成报表、下载或预览报表。 参照图12进入报表管理界面。 图12 进入报表管理入口 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图13所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图13 预览或下载报表

步骤五：安装Agent 添加安全组规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 登录控制台进入数据库安全服务。 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图9所示。 将Agent安装包下载到本地。 图9 下载Agent 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图9中的“安装节点IP”）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 执行以下命令，进入Agent安装包“xxx.tar”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar”安装包。 tar -xvf xxx.tar 执行以下命令，进入“install.sh”脚本所在目录。 cd install.sh脚本所在目录 执行以下命令，安装Agent。 sh install.sh 如果界面回显以下信息，说明安装成功。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done!