检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
FullAccess敏感权限配置 DBSS的full权限集涉及部分用户的敏感权限,比如订单支付、obs桶创建和文件上传、委托的创建及委托权限设置等。 这部分权限对用户资产影响较大,故不在系统预置权限集中添加,需通过说明文档方式,由用户手动添加。 相关敏感权限说明如表1所示,权限详情如下:
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型
审计RDS关系型数据库(安装Agent) 方案概述 本文档介绍了如何对关系型数据库(应用部署于ECS)进行安全审计。对于部分关系型数据库,DBSS服务支持免安装Agent模式,无需安装Agent,即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示,请参见审计RDS关系型数据库(免安装Agent)。
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数 参数 是否必选 参数类型 描述 name
DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。 审计日志天数的合规配置 相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示。 图1 磁盘不足提示 当出现如图1所示提示时,
数据库安全审计运行正常但无审计记录 无法使用数据库安全审计 告警邮件异常 无法进入数据库安全服务购买页 数据库安全服务实例审计Postgres的RDS数据库没有审计数据怎么办? 数据库安全服务自动备份失败,失败码:Export backup file failed。
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型
已成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要查看SQL注入检测信息的实例。选择“SQL注入”页签。
已成功添加数据库并开启审计功能。 已成功添加数据库。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要添加审计范围的实例。 选择“SQL注入”页签。
身份认证与访问控制 身份认证 用户访问DBSS的方式有多种,包括DBSS控制台、API、SDK,无论访问方式封装成何种形式,其本质都是通过DBSS提供的REST风格的API接口进行请求。 DBSS的接口需要经过认证请求后才可以访问成功。DBSS支持如下认证方式: Token认证:
数据库安全服务所有权限。 系统策略 DBSS ReadOnlyAccess 数据库安全服务只读权限,拥有该权限的用户仅能查看数据库安全服务,不具备服务配置权限。 系统策略 示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予数据库安全服务管理员权限“DBSS
已成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要配置隐私数据保护规则的实例。
请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数 参数 是否必选 参数类型 描述 agent_id
Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 204 成功 400 失败 403 认证失败 500 服务端错误 错误码 请参见错误码。 父主题: TMS标签
审计RDS关系型数据库(免安装Agent) 方案概述 本文档介绍了如何对关系型数据库(应用部署于ECS)进行安全审计。对于部分关系型数据库,DBSS服务支持免安装Agent模式,无需安装Agent,即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示,请参见本节内容。 表1 支持免Agent安装的关系型数据库
500 服务器内部错误 { "error" : { "error_code" : "DBSS.XXXX", "error_msg" : "XXX" } } 状态码 状态码 描述 200 审计汇总信息 400 请求参数错误 403 认证失败 500 服务器内部错误
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型
入检测规则后,该审计规则在审计中将不生效。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要禁用SQL注入检测的实例。 选择“SQL注入”页签。
容器化部署数据库安全审计Agent 场景说明 添加数据库并导出数据库配置 在CCE集群节点中安装Agent 开启数据库安全审计 查看审计结果