华为云用户手册

通过代理连接数据库 本文以“SQL Server Management Studio工具”为例，通过数据库运维安全管理系统代理连接到数据库。 单击“SQL Server Management Studio工具”的图标，设置连接信息，其中： 服务器名称：使用代理服务器IP及代理端口，即数据库运维安全管理系统的访问IP地址。例如172.XX.XX.12，6002。 图2 通过代理连接数据库 单击“连接”，连接到数据库。

通过代理连接数据库 本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。 图3 通过代理连接数据库 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。 单击“下一步”。 在设置MySQL连接对话框中，设置连接信息，如图3所示。 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如 172.XX.XX.12。 端口：使用代理端口，例如9587。 单击“测试链接”，测试是否能够连接到数据库。 测试通过后，单击“下一步”，按照界面提示完成操作。

修改登录密码 在Web控制台，单击右上角的用户名，在下拉框中单击“修改密码”。 图3 修改密码 在修改密码对话框中，修改密码并单击“确定”。 表2 参数说明 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 修改密码要求： 密码设置要求 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（!@$%^-_=+[{}]:,./?~#*），且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 不能与原密码相同。 确认密码 重新输入修改后的新密码。 修改完成后，您需要退出Web控制台，使用新密码重新登录。

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库运维管理页面，在目标实例“操作”列单击“远程登录”。 方式二：通过方式一进入的数据库运维页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:18443。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明区域单击“继续前往xx.xx.xx.xx（不安全）”。 图2 进入登录页面 进入登录页面后，输入“用户名”、“密码”，单击“登录”。 登录成功后，您可以进入Web控制台，查看和配置数据库运维安全管理系统。 初次登录系统，您需要修改默认密码。具体操作请参见修改登录密码。

产品功能 本节介绍数据库运维安全管理系统的主要功能。 表1 产品功能 功能名称 功能描述 相关章节 首页 统计数据源概览，风险类型分布top，访问请求趋势、访问请求、并发趋势、流量趋势等数据，及提供风险分布、审计日志、安全防护规则、流程审批等业务信息概览。 首页信息 资产管理 可添加、编辑、删除数据源。支持对数据库账号进行管理。 资产管理 安全策略 为数据源配置配置安全策略。包括黑白名单、安全规则、虚拟补丁、误删恢复、客户端语句过滤等，并提供对象管理提高策略配置效率。 安全策略 审计中心 审计日志内容能够详尽地显示访问行为发生的具体特征，还原用户的访问行为；支持配置业务字典，将日志中的IP、账号、操作命令、操作对象翻译成易于用户理解的字段。 审计中心 风险管控 支持对数据源进行风险项扫描，并生成相应的分析报告。 风险管控 报表管理 支持基于概览，数据源分析、访问分析、风险分析、运维分析等维度生成报表。支持针对各类型报表进行详细内容的自定义配置与周期性生成；支持报表任务管理，并进行报表的下载。 报表管理 运维管理 系统管理员可对已经提交的工单进行审批、驳回操作，并支持对工单进行监控，手动回收工单权限；可对安全客户端免密登录的运维账号授权。 运维管理 系统管理（安全管理员） 支持系统账号审核、角色管理、系统登录安全设置、密码安全设置等 安全管理员操作指南 系统管理 平台信息展示、进行系统授权操作。 系统账号管理、组织架构管理。 支持系统时间的配置、时间服务器配置、告警配置、安全口令配置。 高可用管理，支持系统一键Bypass。 支持系统监控、系统诊断、系统清理、系统升级。 支持系统备份恢复。 支持网口、路由配置。 系统 消息通知 管理，可自定义消息通知、告警等细则。 系统管理 日志管理 支持查看与检索系统所有操作行为的日志信息。 查看操作日志 运维管理（数据库操作员） 数据库操作员可通过发起工单申请运维操作权限，同时系统提供安全客户端对数据库进行安全操作。 数据库操作员操作指南 父主题： 数据库运维安全管理介绍

插件状态 插件部署在客户的应用系统上。插件状态有三种： online：准备状态，插件状态正常。可以通过心跳进行状态检测，加密系统会定期推送相应的加密配置和密钥文件到插件端。等待加密系统故障后切换到激活状态。 bypass：激活状态，插件状态正常。插件已检测到加密系统异常，插件开始工作，修改应用连接从网关代理到直连数据库，并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时，插件将切换到bypass状态。

相关操作 在数据源列表“策略配置”列单击，跳转到加密队列配置页面。建议在配置加密队列前进行敏感数据识别，具体操作，请参见扫描资产的敏感数据。 在数据源列表“策略配置”列单击，跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别，具体操作，请参见扫描资产的敏感数据。 在数据源列表“操作”列单击“编辑”，修改数据资产信息。 在数据源列表“操作”列单击“删除”，删除不再需要的数据资产。 如果提示当前数据库未回滚表结构，请根据实际情况，回滚表结构或者配置解密队列。

使用约束 表1 数据库加密支持纳管的数据源及版本 数据库 版本号 MySQL 5.5 、5.6、5.7、8.0、8.0.13+ Oracle 11.1、11.2、12c、19c SQLServer 2012、2016 PostgreSQL 9.4、 11.5 DM 6、7.6、8.1 Kingbase V8 R3、V8 R6 MariaDB 10.2 GaussDB A TDSQL 5.7 TBASE V2.15.17.3 RDS_MYSQL 5.6、5.7、8.0 RDS_PostgreSQL 11 HotDB 2.5.6 HighGO 4.5 DWS 8.1 表2 数据库加密的数据库账号权限 数据库 需要select权限的系统表名 数据库账号权限 MySQL mysql.user performance_schema.* select insert create update delete drop alter index RDS_MYSQL mysql.user performance_schema.* select insert create update delete drop alter index TDSQL mysql.user performance_schema.* select insert create update delete drop alter index MariaDB mysql.user performance_schema.* select insert create update delete drop alter index DM SYS.ALL_SUBPART_KEY_COLUMNS SYS.ALL_USERS SYS.ALL_CONS_COLUMNS SYS.ALL_CONSTRAINTS SYS.ALL_TABLES SYS.ALL_TABLE_COLUMNS SYS.ALL_COL_COMMENTS SYS.ALL_PART_KEY_COLUMNS SYS.ALL_IND_COLUMNS SYS.ALL_INDEXS V$VERSION V$LOCK SYS.DBMS_LOB SYS.DBMS_METADATA 用户角色必须是dba postgreSQL pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba RDS_PostgreSQL pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba TBASE pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba GAUSSDB pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba KINGBASE 8.6（pg模式） pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence pg_catalog.pg_matviews 用户必须是表的owner或者是dba KINGBASE 8.3 sys_catalog.sys_class sys_catalog.sys_index sys_catalog.sys_user sys_catalog.sys_indexes information_schema.columns information_schema.sequences information_schema.tables sys_catalog.sys_sequence sys_catalog.sys_matviews 用户必须是表的owner或者是dba Oracle SYS.ALL_SUBPART_KEY_COLUMNS SYS.DUAL SYS.ALL_USERS SYS.ALL_CONS_COLUMNS SYS.ALL_CONSTRAINTS SYS.ALL_TABLES SYS.ALL_TABLE_COLUMNS SYS.ALL_COL_COMMENTS SYS.ALL_PART_KEY_COLUMNS SYS.ALL_IND_COLUMNS SYS.ALL_INDEXS SYS.V_$INSTANCE SYS.DBMS_LOB SYS.DBMS_METADATA DBA_TABLES DBA_TAB_COLS 用户角色必须是dba SQLserver sys.tables sys.indexes sys.index_columns sys.default_constraints sys.systypes sys.extended_properties sys.foreign_key_columns sys.check_constraints sys.foreign_keys sys.columns sys.objects sys.all_columns sys.types sys.syslogins sys.all_objects sys.schemas sys.key_constraints sys.computed_columns sys.triggers sys.partition_schemes sys.dm_sql_referencing_entities schemaSelect schemaInsert schemaUpdate schemaAlter createTable VIEW SERVER STATE 加密表的select 加密表的insert 加密表的alter HighGO pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba DWS pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba

动态脱敏操作流程 数据库加密与访问控制支持配置动态脱敏策略，对数据库资产中的明文数据进行脱敏展示，动态脱敏流程如图1所示。 图1 动态脱敏流程 添加数据源。 在使用数据脱敏功能前，您需要将数据资产添加到系统中。具体操作，请参见添加数据资产。 （可选）配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求，也可以自定义敏感数据类型和行业模板。具体操作，请参见新增行业模板和新增自定义数据类型。 执行敏感数据发现。 通过敏感数据发现任务，自动扫描和识别出数据资产中的敏感数据。具体操作，请参见扫描资产的敏感数据。 （可选）查看任务执行结果。 通过查看任务执行结果，查看命中的敏感数据。具体操作，请参见查看扫描任务执行结果。 创建脱敏规则。 您可以在敏感数据发现任务的结果中，根据敏感数据信息创建加密队列。具体操作，请参见在结果中创建脱敏规则。 同时，也支持在动态脱敏模块直接创建脱敏规则。具体操作，请参见创建脱敏规则。 （可选）配置脱敏白名单。 配置脱敏规则并启用后，默认情况下访问数据库的明文数据时，您只能看到脱敏后的数据。配置脱敏白名单后，白名单中的用户访问数据库可查看到明文数据。具体操作，请参见1.4.8.3 配置脱敏白名单。 配置完成后，您可以代理访问验证脱敏规则配置效果。

加密操作流程 数据库加密与访问控制的加密操作流程图和流程介绍如下图1所示。 图1 加密操作流程 （首次）初始化密钥。 首次使用系统时，根据密钥来源初始化密钥。具体操作，请参见初始化密钥。 添加数据源。 在使用数据脱敏功能前，您需要将数据资产添加到系统中。具体操作，请参见添加数据资产。 （可选）配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求，也可以自定义敏感数据类型和行业模板。具体操作，请参见新增行业模板和新增自定义数据类型。 （可选）执行敏感数据发现。 通过敏感数据发现任务，自动扫描和识别出数据资产中的敏感数据。具体操作，请参见扫描资产的敏感数据。 （可选）查看任务执行结果。 通过查看任务执行结果，检查结果是否符合敏感数据要求。具体操作，请参见查看扫描任务执行结果。 （可选）仿真加密测试。 通过仿真加密测试，检查目标是否支持加密。具体操作，请参见仿真加密测试。 创建加密队列。 您可以在敏感数据发现任务的结果中，根据敏感数据信息创建加密队列。具体操作，请参见在结果中创建加密队列。 同时，也支持在 数据加密 模块直接创建加密队列。具体操作，请参见配置加密队列。 授权管理。 配置加密后，默认情况下访问数据库时，您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据，此时您需要为应用系统进行授权操作。具体操作，请参见管理授权。 配置完成后，您可以通过以下方式验证配置结果。 使用已授权的客户端地址和用户，通过代理方式访问数据库，此时可以查看到加密前的明文数据。 使用未授权的客户端地址或用户，通过代理方式访问数据库，此时只能查看到加密后的数据。

修改登录密码 在Web控制台，鼠标移动到右上角的用户名。 图3 修改密码 在下拉框中，单击“修改密码”。 在修改密码对话框中，输入原始密码和新密码，单击“确定”，新密码规则如表2所示。 修改完成后，您需要退出Web控制台，使用新密码重新登录。 表2 修改密码 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 密码设置要求： 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（!@$%^-_=+[{}]:,./?~#*），且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 确认密码 重新输入修改后的新密码。

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库加密与访问控制页面，在目标实例“操作”列单击“远程登录”。 方式二：通过方式一进入的数据库加密与访问控制页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:9595。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明中，单击继续前往xx.xx.xx.xx（不安全）。 图2 继续前往 输入用户名、密码和验证码，单击“登录”。 首次登录后，需要修改默认密码，详细操作请参见修改登录密码。 在后续使用过程中，建议您定期修改密码，确保登录安全。

功能介绍 本节介绍数据库加密与访问控制的主要功能及相关章节。 表1 功能介绍 功能名称 功能描述 相关章节 资产管理 支持数据库资产的增删改查以及数据源连通性测试，并支持数据库读写分离配置、加密模式配置、返回值配置、账号权限检测。 添加数据资产 敏感数据发现 支持敏感数据扫描、敏感数据类型管理、敏感数据行业模板管理。 敏感数据发现 业务测试 支持业务仿真测试，模拟是否可以正常加解密；支持在加密前接入网络进行业务SQL流量分析，定位出加密后可能执行异常的SQL，并生产分析报表。 仿真加密测试、仿真解密测试、业务测试和分析 数据加密 在数据加密模块对加密与解密队列管理，支持对客户端和数据库用户授权限制用户访问，查看并下载加密日志、回滚表结构、管理加密表、下载bypass插件。 数据加密和解密 动态脱敏 支持对敏感数据配置脱敏算法，对明文数据进行动态脱敏展示。 动态脱敏 密钥管理 支持三级密钥算法、密钥来源配置、密钥(DSK)周期轮转更新，支持配置KMS对接，密钥记录查看与密钥检索。 初始化密钥、密钥管理 平台管理 在平台管理模块对系统进行基础网卡与路由配置、系统升级、配置数据的备份与恢复、查看应用访问记录、安全口令配置等管理操作。 平台管理 系统管理 系统管理模块支持对平台使用用户进行维护，包括账号的管理、组织架构管理、角色的管理、账号的审核等，同时支持对系统各类消息进行查看与管理。 展示设备状态，管理设备，对系统内核、CPU、硬盘等使用情况进行诊断、进行系统升级、系统安全配置等。 系统管理 日志管理 支持查看与检索系统所有操作行为的日志信息。 查看系统操作日志

使用场景 数据库加密与访问控制可以满足合规要求，同时可以满足数据库敏感数据防护需求。 满足国家评测的合规要求 应用系统本身会根据用户的权限对数据进行处理，对于遗留系统（旧系统无法再做升级改造）以及开发时未考虑《网络安全法》中要求的个人隐私保护问题，如果重新更改代码过于复杂，需要依赖于外部技术实现数据的隐私保护。 通过数据库加密与访问控制能够实现数据库的加密，满足各项法律法规。 满足数据库敏感数据防护需求 数据库加密与访问控制可以有效解决因数据库管理员DBA等高权限账号密码泄漏所导致的数据泄漏问题，同时也可防止因外部APT攻击或内部管理失当导致的数据库文件被下载、复制等数据泄漏风险，满足数据库的敏感数据防护需求。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 DBSS支持的自定义策略授权项如表1所示： 表1 授权列表 权限 授权项 查询数据库安全审计实例列表 dbss:auditInstance:list 获取数据库安全审计实例的可用规格 dbss:auditInstance:getSpecification 查询数据库安全防护实例列表 dbss:defendInstance:list 绑定或解绑EIP dbss:defendInstance:eipOperate 删除数据库安全防护实例 dbss:defendInstance:delete 删除数据库安全审计实例 dbss:auditInstance:delete 按需购买数据库安全防护实例 dbss:defendInstance:createOnDemand 按需购买数据库安全审计实例 dbss:auditInstance:createOnDemand 按包周期购买数据库安全防护实例 dbss:defendInstance:createOnOrder 按包周期购买数据库安全审计实例 dbss:auditInstance:createOnOrder 重启数据库安全防护实例 dbss:defendInstance:reboot 启动数据库安全审计实例 dbss:auditInstance:start 关闭数据库安全审计实例 dbss:auditInstance:stop 重启数据库安全审计实例 dbss:auditInstance:reboot 启动数据库安全防护实例 dbss:defendInstance:start 关闭数据库安全防护实例 dbss:defendInstance:stop

DBSS自定义策略样例 示例1：授权用户查询数据库审计列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dbss:auditInstance:list" ] } ] } 示例2：拒绝用户删除数据库审计实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“DBSS FullAccess”的系统策略，但不希望用户拥有“DBSS FullAccess”中定义的删除数据库审计实例权限，您可以创建一条拒绝删除数据库审计实例的自定义策略，然后同时将“DBSS FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对DBSS执行除了删除数据库审计实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "dbss:auditInstance:delete" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dbss:defendInstance:eipOperate", "dbss:auditInstance:getSpecification" ] }, { "Effect": "Allow", "Action": [ "hss:accountCracks:unblock", "hss:commonIPs:set" ] } ] }

效果验证 以脱敏“护照号”信息，且审计的数据库为MySQL为例说明，请参考以下操作步骤验证隐私数据脱敏功能是否生效： 开启“隐私数据脱敏”，并确保“护照号”规则已启用，如图2所示。 图2 规则已启用 使用MySQL数据库自带的客户端，以root用户登录数据库。 在数据库客户端，输入一条SQL请求语句。 select * from db where HOST="护照号"; 在左侧导航栏选择“数据报表”，进入“数据报表”页面。 根据筛选条件，查询输入的SQL语句。 单击该SQL语句，在“语句详情”页面查看SQL请求语句信息，隐私数据脱敏功能正常，“SQL请求语句”显示脱敏后的信息。 图3 隐私数据脱敏

其它操作 添加自定义脱敏规则后，您可以根据使用需求，对自定义规则执行以下操作： 禁用 在需要禁用的规则所在行的“操作”列，单击“禁用”，可以禁用该规则。禁用该规则后，系统将不能使用该数据脱敏规则。 图4 禁用自定义脱敏规则 编辑 在需要修改信息的规则所在行的“操作”列，单击“编辑”，在弹出的对话框中，修改规则信息。 图5 编辑自定义脱敏规则 删除 在需要删除的规则所在行的“操作”列，单击“删除”，在弹出的提示框中，单击“确定”，删除该规则。 图6 删除自定义脱敏规则

安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 请参见步骤二添加Agent。 请参见下载Agent获取Linux操作系统Agent安装包。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar.gz”安装包。 tar -xvf xxx.tar.gz 执行以下命令，进入解压后的目录。 cd 解压后的目录 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 ll 如果有安装脚本的执行权限，请执行9。 如果没有安装脚本的执行权限，请执行以下操作： 执行以下命令，添加安装脚本执行权限。 chmod +x install.sh 确认有安装脚本执行权限后，请执行9。 执行以下命令，安装Agent。 sh install.sh 用户系统是Ubantu时，执行以下命令安装Agent：bash install.sh Agent程序是以DBSS普通用户运行的，在首次安装Agent时，需要创建Agent用户，执行sh install.sh命令后，需要您自行设置DBSS用户的密码。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 执行以下命令，查看Agent程序的运行状态。 service audit_agent status 如果界面回显以下信息，说明Agent程序运行正常。 audit agent is running.

常见安装场景 请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下： E CS /BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时，需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端（应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。

后续处理 如果某条告警信息已经处理完成，您可以在该告警所在行的“操作”列，单击“确认”，标识该告警已确认并处理。告警确认后，告警状态为“已确认”。 图2 确认告警信息 您可以选中待确认的多条告警，单击“批量确认”，同时确认多条告警信息。 图3 批量确认告警信息 如果某条告警信息已经处理完成，您可以在该告警所在行的“操作”列，单击“删除”。在弹出的确认框中，单击“确认”，完成该条告警删除。 图4 删除告警信息 如果某条告警信息的告警类型是“防勒索规则”时，您可以在该告警所在行的“操作”列，单击“数据库备份”，执行数据库备份，备份操作请参见创建手动备份。

前提条件 给用户组授权之前，请您了解用户组可以添加的DBSS权限，并结合实际需求进行选择，DBSS系统策略如表1所示。DBSS支持的系统权限，请参见：DBSS系统权限。若您需要对除DBSS之外的其它服务授权， IAM 支持服务的所有权限请参见系统权限。 表1 DBSS系统权限 系统角色/策略名称 描述 类别 依赖关系 DBSS Audit Administrator 数据库安全服务审计管理员，拥有审核数据库安全服务日志信息的权限。 系统角色 无。 DBSS FullAccess 数据库安全服务所有权限。 系统策略 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 系统策略

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予数据库安全服务管理员权限“DBSS Security Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 验证方式（参考）：您可以尝试开启或关闭实例，此时如果提示“您的权限不足”，则表示设置的“DBSS Security Administrator”数据库安全服务安全管理员角色已生效。

FullAccess敏感权限配置 DBSS的full权限集涉及部分用户的敏感权限，比如订单支付、obs桶创建和文件上传、委托的创建及委托权限设置等。 这部分权限对用户资产影响较大，故不在系统预置权限集中添加，需通过说明文档方式，由用户手动添加。 相关敏感权限说明如表1所示，权限详情如下： "obs:bucket:CreateBucket", "obs:object:PutObject", "bss:order:pay", "iam:agencies:createAgency", "iam:permissions:grantRoleToAgency", "iam:permissions:grantRoleToAgencyOnEnterpriseProject", "iam:permissions:grantRoleToAgencyOnDomain", "iam:permissions:grantRoleToAgencyOnProject" 表1 敏感权限说明 敏感权限项 使用场景说明 是否为global权限 敏感权限规避措施 obs:bucket:CreateBucket agent在CCE场景部署时，如果上传的obs桶不存在，则会调用该接口创建obs桶。上传的obs桶名固定为:dbss-audit-agent-{project_id}，project_id为当前实例所在的项目id。 备份和风险导出功能场景，如果选择的桶不存在，则会创建obs桶。 是 如不涉及权限使用场景，可以不配置该权限。 如涉及，可以提前使用有权限的账号创建要使用的obs桶即可。 obs:object:PutObject agent在CCE场景部署时，将实例配置信息上传到obs桶。 是 如不涉及权限使用场景，可以不配置该权限。 如需使用，必须配置该权限才能将实例信息正常导出，无规避措施。 iam:agencies:createAgency iam:permissions:grantRoleToAgency iam:permissions:grantRoleToAgencyOnEnterpriseProject iam:permissions:grantRoleToAgencyOnDomain iam:permissions:grantRoleToAgencyOnProject 备份和风险导出场景，创建名为"dbss_depend_obs_trust"的委托并对其授予obs操作相关权限。 dws免agent场景，dws会创建名为"DWSAccessLTS"的委托，并对其授予访问lts的权限，用于将审计日志上传到租户的lts中。dbss会创建名为"dbss_dws_lts_trust"的委托，并对其授予lts访问权限，用于后续从lts下载审计日志。 是 如不涉及权限使用场景，可以不配置该权限。 使用有权限的账号开启该功能。 bss:order:pay 购买审计实例时，进行订单支付。 否 如不涉及权限使用场景，可以不配置该权限。 使用有权限的账号提前购买实例。 父主题： 权限管理

在Linux操作系统上卸载Agent 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。 ll 如果有卸载脚本的执行权限，请执行4。 如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。 chmod +x uninstall.sh 确认有安装脚本执行权限后，请执行4。 执行以下命令，卸载Agent。 sh uninstall.sh 如果界面回显以下信息，说明卸载成功。 1 2 3 4 5 6 7 uninstall audit agent... exist os-release file stopping audit agent audit agent stopped stop audit_agent success service audit_agent does not support chkconfig uninstall audit agent completed!

通过Agent方式审计数据库 表1中的数据库类型及版本，需采用安装Agent方式开启DBSS服务。 表1 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.30 8.0.35 8.1.0 8.2.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 12 13 14 SQL Server 2008 2012 2014 2016 2017 GaussDB(for MySQL) 8.0 DWS 1.5 8.1 DAMENG DM8 KINGBASE V8 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB 1.3企业版 1.4企业版 2.8企业版 3.223企业版 MongoDB V5.0 DDS 4.0 Hbase （华为 云审计 实例：23.02.27.182148 及其之后的版本支持） 1.3.1 2.2.3 Hive （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.2.2 2.3.9 3.1.2 3.1.3 MariaDB 10.6 TDSQL 10.3.17.3.0 Vastbase G100 V2.2 TiDB V4 V5 V6 V7 V8 图1 快速使用数据库安全审计流程图 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 2 添加Agent 添加数据库后，您需要为添加的数据库选择Agent的添加方式。 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计，请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后，您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 4 安装Agent（Linux操作系统） 安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 5 开启数据库安全审计 Agent安装成功后，您还需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 6 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 有关审计数据的保存说明，请参见数据库安全审计的审计数据可以保存多久？。

云审计服务支持的DBSS操作列表 数据库安全服务通过云审计服务（Cloud Trace Service， CTS ）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的DBSS操作列表如表1所示。 表1 云审计服务支持的数据库安全服务操作列表 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance 实例状态变化 dbss cloudServiceInstanceStatus 创建包周期实例 dbss cloudServiceInstanceCreate 实例元数据变化 dbss updateMetaData 父主题： 云审计服务支持的关键操作

步骤二：创建云连接实例 进入云连接实例列表页面。 单击页面右上方的“创建云连接”。 在弹出的对话框中根据表5填写对应参数。 表5 创建云连接实例参数 参数 说明 取值样例 名称 云连接实例的名称。 长度为1~64个字符，中、英文字母，数字，下划线，中划线，点。 cc-test 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 使用场景 虚拟私有云：选择虚拟私有云场景时，网络实例类型支持选择虚拟私有云（VPC）和虚拟网关（VGW）。 虚拟私有云 标签 云连接实例的标识，包括键和值。可以为云连接实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 - 描述 云连接实例的描述。 长度为0~255个字符。 - 单击“确定”，完成云连接实例的创建。

步骤四：购买带宽包 云连接实例默认跨区域互通带宽为10kbps，仅用于测试连通性。为了实现相同大区不同区域或不同大区之间的互通，用户需要先购买带宽包，绑定到对应的云连接实例中，并配置域间带宽以保证业务正常使用。 单击已创建的云连接实例名称，进入基本信息页面。 单击“带宽包”页签。 单击“购买带宽包”，在购买带宽包页面中，根据表7填写对应参数，单击“立即购买”。 表7 购买带宽包参数 参数 说明 取值样例 基础配置 计费模式 包年/包月。 用户根据需要选择购买时长，按照年或月为单位进行购买。 包年/包月 名称 带宽包的名称。 长度为1~64个字符，支持数字，英文字母，下划线，中划线，点。 bandwidthPackge-test 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 标签 带宽包的标识，包括键和值。可以为带宽包创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 - 带宽配置 计费方式 按宽带计费。 按带宽带计费 互通类型 互通大区的类型。支持： 大区内互通：指配置域间带宽的区域在同一个大区内。 跨大区互通：指配置域间带宽的区域在不同的大区内。 大区内互通 互通大区 需要实现互通的区域，即配置域间带宽时涉及的区域。 中国大陆 带宽 带宽是所有基于该带宽包配置的域间带宽总和，请根据网络情况提前做好规划。 单位Mbit/s。 10 购买时长 按照用户需求，选择对应的购买时间。 可支持自动续费。 1 云连接实例 选择需要绑定的云连接名称。支持： 绑定 暂不绑定 暂不绑定 在订单确认页面再次确认购买带宽包的信息，单击“提交”。 在带宽包列表中可查看带宽包信息，如果“状态”为“正常”，表示购买成功。