检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
勾选需要应用的策略,单击。 配置具体策略选项。 图1 启用策略 在策略默认动作中选择通过或者阻断。 通过(默认):如果访问操作命中开启的策略,默认通过;如果策略定义里的响应动作为阻断,则阻断。 阻断:如果访问操作命中开启的策略,则直接阻断;如果策略类型为白名单,则通过。白名单设置方法请参见自定义策略。 单击右上角的“策略应用”,使配置生效。
选择Ipv4地址。 弹性IP(可选) 选择绑定实例的弹性IP。 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。 - 实例类型 当前仅支持主备类型。 主备 备注(可选) 当前实例的备注信息。 - 用户名 默认生成的用户名。
要重新登录Web控制台。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 系统设置”。 单击“时间设置”页签。 如需手动修改系统时间,请参考此步骤: 图1 手动修改系统时间 单击设置时间日期的下拉栏,在提示框中选择日期和时间,单击确定。
命中策略是否记录日志。 锁定访问 响应动作为阻断时,可选择是否根据IP或用户锁定访问。 资产信息(源) 资产客户端IP 数据库客户端的IP。 主机名 数据库客户端的主机名。 操作系统用户 数据库客户端的操作系统用户名。 数据库用户 数据库客户端的访问数据库资产使用的用户名。 数据库用户组 数据库客户端的访问数据库资产使用的用户组。
查看和配置消息中心 在消息中心,您可以查看系统的通知告警等消息,配置推送的消息类型、消息模板和接收角色等。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 消息中心”。 也可在页面右上角,单击“消息中心”,进入“消息中心”页面。
库IP具有N个数据库端口,即为N个数据库实例。 例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例。IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)。
什么是数据库安全审计? 数据库安全审计和RDS SQL审计有什么区别? 数据库安全服务支持哪些性能规格? 数据库安全服务可以对华为云上的哪些数据库提供保护? 数据库安全服务支持哪些类型的数据库? 哪些区域可以使用数据库安全服务? 为什么购买实例后不能马上查看创建中的实例? 数据库安全服务上传日志是通过公网的带宽还是内网的带宽?
设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统 IP地址:172.16.47.58 Oracle数据库 IP地址:172.16.32.41 数据库版本:Oracle 11 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理
instance_id 是 String 实例ID。可在查询实例列表接口的ID字段获取。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
置后需要重新登录Web控制台。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 时间配置”。 如需手动修改系统时间,请参考此步骤: 图1 手动修改系统时间 在日期和时间区域,单击时间的下拉栏,在提示框中选择日期和时间,单击“确定”。
安装节点IP 当“安装节点类型”选择“应用端”时,需配置该参数。指待审计的应用端节点的IP地址,只能填写一个。 IP地址必须为应用端节点的内网IP地址,支持IPv4和IPv6格式。 须知: 当审计RDS关系型数据库且应用端在云下时,代理端将作为应用端,此时,“安装节点IP”需要配置为代理端的IP地址。
如何修改Agent的CPU和内存的阈值? 数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改: Agent安装在数据库端的用户,若有需求,请您联系技术支持修改数据库安全审计Agent的阈值。 Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值。
使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的
在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围,单击“保存”。 图7 客户端授权 IP地址范围支持设置起始IP和结束IP,单击按钮可以添加多个IP地址范围,最多设置5个IP地址范围。 找到目标加密数据库表,单击“用户授权”。 在“用户授权”对话框中,对数据库用户设置相应的权限,单击“保存”。
本文以DBeaver工具为例,通过代理连接到数据库。 图6 通过代理连接数据库 单击图标。 在选择新连接类型对话框中,选中MySQL。 单击下一步。 在“设置MySQL连接”对话框中,设置连接信息。 连接信息说明: 服务器地址:使用数据库加密与访问控制系统的访问IP地址。例如192.xx.xx.54。
- 例外IP 可选参数。输入不需要对数据库操作行为进行审计的IP地址。 说明: 例外IP规则优先级高于源IP规则,当例外IP和源IP中填写的IP地址有重叠时,将不对重叠IP的数据库操作行为进行审计。 - 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。 IP必须为内
收集方式 是否可以修改 是否必须 用户名 在登录管理台时,由用户在登录界面输入。 否 是 用户名是用户的身份标识信息 邮箱 在数据库安全审计设置邮件通知时,由用户在界面输入。 是 否 存储方式 用户名:不属于敏感数据,明文存储。 邮箱:加密存储。 访问权限控制 拥有“DBSS System
在“时间范围”下拉栏中选择查询时间,单击“查询”。 单击风险类型名称,在右侧查看具体风险列表。 查看详情:单击“详情”,查看风险的详细信息,包括资产信息、访问信息和SQL执行信息等。 回放信息:单击“回放”,查看SQL执行的请求和应答过程。 (可选)如果判断此风险是误报,您可以选择风险后,单击“加入
有关审计日志的保存说明,请参见数据库安全审计的审计数据可以保存多久?。 OBS细粒度授权 DBSS备份和恢复需要OBS授权,没有IAM授权相关权限的用户,需要由有Security Administrator权限的用户手动进行授权。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“管理与监管
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
