本文档介绍数据加解密策略的使用和操作说明。
创建策略
前提条件
已 购买开通 CASB 实例。
已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例。
已创建元数据。如未创建元数据 ,请查阅 添加元数据库 、 添加自建数据库 或 添加 COS 元数据。
说明:
当元数据为从节点时,策略会自动同步主节点,无需创建。
操作步骤
1. 登录 云访问安全代理控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、 CASB 实例和元数据。
3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。
4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。
说明:
选择数据表后,当其对应策略类型是主分表或次分表时,配置的加解密策略会同步到其他分表。
5. 找到所需配置的数据表,在其右侧操作栏中,单击策略配置,进入配置页面。
6. 在配置页面中,找到所需的字段,在其右侧单击配置策略,弹出配置策略窗口。
7. 在配置策略窗口中,配置所需参数,单击确定,即可完成策略的创建。
参数说明:
加密算法:目前支持国密 SM4 和 AES 算法。
模糊查询:目前适用于 utf8mb3和 utf8mb4两种不同字符集数据的密文模糊检索算法。为支持模糊查询,密文需要存储额外的索引信息,会一定程度降低密文的安全性,请根据业务需求评估选择。
适用于 utf8mb3字符集的模糊查询:仅支持加密和模糊查询 utf8mb3字符集(即1~3字节的 utf8字符)的字符串,密文长度将额外增加原始明文长度的7倍。
适用于 utf8mb4字符集的模糊查询:支持加密和模糊查询 utf8mb4字符集(即所有 utf8字符)的字符串,密文长度将额外增加原始明文长度的21倍。
加密密钥:根据步骤2选择的元数据,系统会自动拉取对应的密钥,供您选择。如未创建加密密钥,请参见 创建密钥。
注意:
配置了模糊查询策略的字段写入数据时,明文数据长度必须等于0(空)或大于等于 2,否则将写入失败。
8. 如需还对其他表或字段设置策略,重复上述操作即可。(可选)
说明:
策略配置完成后,实时加解密状态将会开启,默认是关闭。
工作模式:模式共有三种。工作模式仅当使用 Proxy 连接进行实时加解密操作时有效。
读解密,写加密。
读解密,写不解密。
读不解密,写不加密。
删除策略
前提条件
已 购买开通 CASB 实例。
已 创建策略。
说明:
当元数据为从节点时,策略从主节点同步,禁止编辑。
操作步骤
1. 登录 云访问安全代理控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、 CASB 实例和元数据。
3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。
4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。
5. 找到所需配置的数据表,在其右侧操作栏中,单击策略配置,进入配置页面。
6. 在配置页面中,找到所需的字段,单击
说明:
选择数据表后,当其对应策略类型是主分表或次分表时,修改的加解密策略会同步到其他分表。
7. 在“确认删除”窗口中,单击确定,即可删除该策略。
说明:
策略删除后,当前字段数据将无法解密,请确认当前字段数据已全部解密。
分表配置
前提条件
已 购买开通 CASB 实例。
已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例。
已创建元数据。如未创建元数据 ,请查阅 添加元数据库 、 添加自建数据库 或 添加 COS 元数据。
说明:
当元数据为从节点时,分表规则由主节点进行配置。
操作步骤
1. 登录 云访问安全代理控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。
3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。
4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。
5. 找到所需设置的主分表表名,在其右侧,单击分表配置。
说明:
当数据表已经配置策略,系统不支持再进行分表的配置。
6. 在规则配置页面,输入分表规则的正则表达式,用于匹配当前数据库的表名,单击下一步。
7. 在规则校验页面,当分表规则匹配成功后,将会输出各个数据表的匹配情况,包括匹配成功、无法匹配以及效验失败三种情况。单击完成即可创建分表规则。
参数说明:
匹配成功:表名与分表规则正则式能成功匹配。
无法匹配:表名与分表规则正则式无法匹配。
校验失败:包含如下三种情况,当数据表处于如下情况时,将会出现校验失败,与当前主表无法实现主分表配置。
数据表已存在分表规则。
数据表的表结构不相同。
数据表已配置策略。
说明:
当规则校验存在校验失败的情况时,不支持分表的配置。
数据表已配置加解密策略,并作为主分表的情况下,当分表策略配置完成后,主分表的加解密策略会同步至其他次分表。
分表管理
前提条件
已 购买开通 CASB 实例。
已创建 CASB 实例。如未创建 CASB 实例,请查阅 创建 CASB 实例。
已完成 分表配置。
说明:
当元数据为从节点时,分表规则由主节点进行配置、编辑。
操作步骤
1. 登录 云访问安全代理控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。
3. 在策略管理页面中,依据所选的实例与元数据,页面将会展示对应的数据库名和策略总数。
4. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。
5. 找到所需设置的主分表表名,在其右侧,单击分表配置。
6. 在规则配置页面,输入分表规则新的正则表达式,用于匹配当前数据库的表名,单击下一步。
7. 在规则校验页面,当分表规则匹配成功后,将会输出各个数据表的匹配情况,修改相关参数,单击完成即可修改分表规则。
参数说明:
匹配成功:表名与分表规则正则式能成功匹配。
无法匹配:表名与分表规则正则式无法匹配。
校验失败:包含如下三种情况,当数据表处于如下情况时,将会出现校验失败,与当前主分表无法实现分表配置。
数据表已存在分表规则。
数据表的表结构不相同。
数据表已配置策略。
待新增的表:与原有分表规则相比,新规则中新增加的数据表。
待取消分表关联的表:设定新分表规则后,原有规则中的数据表没有匹配成功,会被取消关联。
说明:
当规则校验存在校验失败的情况时,不支持分表的配置。
数据表已配置加解密策略,并作为主分表的情况下,当分表策略配置完成后,主分表的加解密策略会同步至其他次分表。
数据表被取消分表关联后,原有配置的加解密策略会保留。
如需取消所有次分表的关联,在主分表的匹配规则中写入主分表名称即可完成。
导入策略
前提条件
已 购买开通 CASB 实例。
已创建 CASB 实例。如未创建 CASB 实例,请参见 创建 CASB 实例。
已创建元数据。如未创建元数据 ,请查阅 添加元数据库 、添加自建数据库 或 添加 COS 元数据。
说明:
当元数据为从节点时,策略会自动同步主节点,无需创建。
操作步骤
1. 登录 云访问安全代理控制台, 单击左侧数据加密菜单下的策略管理,进入策略管理页面。
2. 在策略管理页面中,选择所需的地域、CASB 实例和元数据。
3. 在策略管理页面中,依据所选的实例与元数据,单击导入策略。
4. 在导入策略弹窗中,上传所需导入的文件,单击确定。
注意:
上传的文件格式为 CSV,最大不超过10MB。
文件内容包含:数据库名、表名、字段名、加密算法、密钥编号,文件模板可在页面中单击策略模板导出进行下载。
5. 根据策略导入页面反馈确认是否上传成功,如上传失败,请根据提示进行修改调整。
