华为云数据安全中心DSC完全对接指南:从资产接入到API深度集成

apphuang2026年07月03日 18:41:114

1. 数据安全中心DSC概述

华为云数据安全中心(Data Security Center,简称DSC)是新一代的云原生数据安全管理平台,致力于为企业提供一站式的数据安全运营能力。DSC通过资产地图整体呈现云上数据安全态势,整合数据安全生命周期各阶段状态,让安全管理者能够实时掌握数据资产的安全状况。

DSC的核心能力涵盖七大安全防护维度:传输加密、个人数据保护、隐私数据保护、数据备份、数据销毁、数据脱敏和数据水印。企业无需重复安装多个安全产品,一个DSC即可覆盖绝大多数数据安全场景。在资产覆盖方面,DSC支持OBS对象存储、RDS关系型数据库、CSS云搜索服务、Hive、HBase等多种云上数据资产类型。基于AI的敏感数据识别引擎识别准确率超过95%,能够自动发现并分析敏感数据使用情况。

DSC提供标准版和专业版两个服务版本,其中专业版相较于基础版提供了更全面的数据安全保护功能,支持数据静态脱敏和数据水印注入/提取功能。计费方式上,DSC版本支持包年/包月的预付费模式,API接口(数据脱敏和水印API调用)支持按需计费的后付费模式。

需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联

2. 开通DSC服务与前置准备

2.1 开通服务

使用DSC服务前,需要先完成服务的开通操作。登录华为云控制台后,在左侧导航树中选择"安全与合规 > 数据安全中心"进入DSC服务控制台。首次购买DSC时,在界面左侧单击"立即购买"。在购买页面中,需要选择当前区域和项目,然后根据业务需求选择数据库扩展包和OBS扩展包的数量。一个数据库扩展包包含一个可添加数据库资产(支持RDS、DWS、ECS自建数据库、Elasticsearch等),一个OBS扩展包包含1TB的存储体量。选择购买时长后即可完成下单支付。

需要特别注意的是,DSC不支持降低已购买版本的规格。如果需要降低规格,只能先退订当前的DSC服务,再重新购买较低版本。此外,DSC服务当前不支持企业项目隔离,已加入为DSC成员账号的用户也无法再独立购买DSC服务。

2.2 前置条件

在使用DSC进行数据安全检测之前,必须先开通并使用OBS或RDS云产品中的任意一种,确保有可供DSC扫描的数据。同时,需要通过IAM对用户绑定具备相应权限的用户组。云资产委托授权要求用户具备"Tenant Administrator"权限,而购买DSC则要求绑定"DSC FullAccess"权限的用户组。

3. 云资产委托授权

3.1 授权机制解析

云资产委托授权是DSC对接使用的第一步,也是最关键的一步。需要明确区分两个概念:云资产委托授权和资产中心数据授权。云资产委托授权是允许DSC访问其他提供数据服务的云产品,属于服务层面的授权;而资产中心数据授权则是允许DSC访问具体的云产品中存有的数据,如OBS桶里的文件、数据库中的数据等,属于数据层面的授权。完成云资产委托授权后,还需要进行资产中心数据授权,才能进行敏感数据识别和数据脱敏等操作。

授权过程中,系统会为DSC创建可供使用的委托关系。授权完成后,DSC将根据您的选择设置相应的委托权限,以此来访问OBS、数据库、大数据实例以及其他云上资产。授权访问OBS桶后,DSC需要获取OBS日志,因此会产生请求费用。

3.2 授权操作步骤

在DSC服务控制台的资产管理页面中,找到云资产委托授权入口。授权时可以选择需要授权的资产模块,包括OBS桶、数据库、大数据、MRS、资产地图、LTS以及凭据泄露检测等。每个资产模块对应的授权策略不同:

  • OBS模块:授予OBS Administrator权限,用于配置OBS日志、获取OBS对象列表、下载OBS对象等
  • 数据库模块:授予ECS ReadOnlyAccess(获取自建数据库ECS列表)、RDS ReadOnlyAccess(获取RDS数据库列表)、DWS ReadOnlyAccess(获取DWS列表)、DDS ReadOnlyAccess(获取DDS列表)等权限
  • 大数据模块:授予ECS ReadOnlyAccess(获取自建大数据ECS列表)、CSS ReadOnlyAccess(获取CSS数据集群列表及索引信息)等权限
  • 资产地图模块:授予Tenant Guest权限,用于获取用户涉及数据存储处理等相关云服务的列表

停止授权时,需要确保该资产没有绑定任何任务。停止授权后,DSC会删除委托和资产信息,对应的所有数据将被清除。

3.3 多账号管理场景

如果企业已通过多账号管理功能将多个账号纳入DSC的组织管理,那么在管理员或委托管理员同意授权后,所有成员账号下的资产(除LTS类型资产外)均可被统一纳管。这一特性对于大型企业的统一安全运营非常实用。

4. 添加数据资产

4.1 添加OBS资产

完成云资产委托授权后,可以在资产中心添加具体的数据资产。添加OBS资产的操作路径为:登录DSC服务控制台,在左侧导航树中选择"资产中心",单击"OBS"进入OBS资产列表界面,然后在左上角单击"添加自有桶"。在弹出的对话框中,选择需要添加的OBS桶即可完成添加。

OBS资产添加后,可以直接对该桶执行敏感数据扫描、OBS脱敏以及数据水印等操作。DSC支持自动发现云上的OBS资产,也支持手动添加。

4.2 添加数据库资产

数据库资产的添加分为云上数据库和自建数据库两种情况。

云上数据库:如果资产是云上数据库类型(如华为云RDS、DWS等),则不需要手动添加实例。DSC在进行数据库云资产委托授权后会自动发现云上的数据库实例,直接进行授权即可。

自建数据库:如果资产是自建数据库类型,需要手动添加数据库实例。操作步骤为:在DSC控制台的资产中心选择"数据库"页签,单击添加数据库实例。添加时需要提供自建数据库的版本、主机等信息。对于自建数据库,需要打通云下网络到云上代理VPC,可通过云专线或VPN等方式实现。同时需要确保自建数据库子网下含有可用的IP配额。

DSC支持的DWS实例版本包括:9.1.0、9.0、8.3.0、8.2.1、8.2.0、8.1.3、8.1.1、8.0.1、8.0.0。对于跨账号或跨VPC的DWS实例,需要先在虚拟私有云中创建对等连接。

4.3 添加大数据资产

对于自建的大数据资产,需要先将实例添加到DSC,然后授权DSC访问实例中的数据库或索引。DSC支持的大数据资产类型包括CSS、Hive、HBase等。添加操作同样在资产中心完成,选择对应的大数据类型后进行实例添加和授权。

5. 敏感数据识别

5.1 识别机制

敏感数据识别是DSC的核心功能之一。DSC基于数据识别引擎,对储存的结构化数据(RDS、DWS等)和非结构化数据(OBS)进行扫描、分类、分级。识别引擎结合了规则引擎、专家知识库和AI算法,能够自动快速识别敏感数据和个人隐私数据。DSC内置了多种分类分级模板,同时支持自定义规则和模板。规则支持设置与或关系和阈值,以提高识别的准确性。DSC定义了10种敏感级别,实现数据的精细化管理。

5.2 创建识别任务

创建敏感数据识别任务的操作路径为:在DSC控制台左侧导航树中选择"敏感数据识别 > 识别任务",进入识别任务界面后单击"新建任务"。创建任务时需要配置以下关键参数:

  • 识别范围:选择需要扫描的OBS桶、数据库、大数据或MRS以及LTS的指定范围
  • 识别模板:选择内置模板或自定义的分类分级模板
  • 执行方式:可选择单次扫描或周期性扫描
  • 通知配置:可配置告警通知主题,以便及时获取敏感数据识别结果

识别任务创建并执行后,DSC会自动在选定的资产范围内识别敏感数据并生成识别结果。用户可以在资产地图页面查看文件风险概况和文件详情。识别结果会从资产概况、分类分级、权限配置以及数据出口分析等多种维度呈现资产的安全状况。

6. 数据静态脱敏

6.1 脱敏概述

DSC的数据脱敏支持静态脱敏和动态脱敏两种方式。静态脱敏可以按照脱敏规则一次性完成大批量数据的变形转换处理,通常用在将生产环境中的敏感数据交付至开发、测试或者外发环境的情况。静态脱敏适用于开发测试、数据分享、数据研究等场景。用户可以通过DSC控制台创建脱敏任务,也可以调用数据脱敏API接口实现数据的脱敏。

6.2 配置脱敏规则

脱敏规则是脱敏任务的核心配置项。DSC支持多种脱敏算法,例如将字符串类型字段用Hash值代替。DSC默认配置了SHA256和SHA512两种Hash脱敏算法。在关系型数据库中,当字段长度小于Hash长度时,系统会将目标库中该字段的长度与Hash值长度设置相同,保证Hash值完整写入目标库。

配置脱敏规则的操作路径为:在DSC控制台左侧导航树中选择"数据资产保护 > 数据静态脱敏",进入脱敏规则页签进行配置。用户可以针对不同的数据类型配置不同的脱敏算法,并进行脱敏效果的测试验证。

6.3 创建脱敏任务

创建数据库脱敏任务的步骤为:在"数据静态脱敏"页面将"数据库脱敏"设置为开启状态,然后单击"新建任务"。任务配置需要指定数据源、脱敏规则、目标库等参数。任务创建后可以随时开启或停止。DSC支持查询脱敏任务的执行列表,方便用户监控脱敏进度和状态。

7. 数据水印

7.1 水印功能概述

数据水印是DSC专业版提供的重要数据安全能力。数据水印可以全方位确保敏感信息不被泄露,水印注入和提取功能可以帮助追溯数据流转过程,精确定位泄露单位和责任人。DSC支持文档水印、图片水印和数据水印三种类型。水印载体支持Office(Windows、Mac)、WPS(Windows、Mac、Linux、手机端)、Adobe Reader以及浏览器(Chrome、Edge)等主流平台。

7.2 水印注入与提取操作

文档水印:在DSC控制台左侧导航树中选择"水印注入"进入页面,单击"新建任务"。可以选择本地文件进行水印注入。DSC支持在文档中嵌入暗水印,提取时同样通过控制台操作。

图片水印:在左侧导航树中选择"图片水印"进入页面。DSC支持对图片嵌入文字暗水印或者图片暗水印,支持以formData的格式传入待加水印图片和水印相关信息。目前支持的图片格式包括:*.jpg、*.jpeg、*.jpe、*.png、*.bmp、*.dib、*.rle、*.tiff、*.tif、*.ppm、*.webp、*.tga、*.tpic、*.gif。

数据水印:DSC支持对数据库中的数据进行水印嵌入和提取。数据水印可以嵌入到数据库表的具体字段中,在数据泄露时通过提取水印来追溯泄露源头。

需要特别注意:DSC的API接口暂不支持直接对OBS桶数据进行添加或提取水印的操作。如果需要对OBS桶数据进行水印相关操作,需要先将OBS桶数据读取到本地,再调用水印的API接口进行操作,添加水印后的文档将放在API的响应体中进行返回。

8. DSC API深度对接

8.1 API概览

DSC提供了REST(Representational State Transfer)风格的API,支持通过HTTPS请求调用。API支持的操作包括:数据库水印、图片水印、数据脱敏、资产管理、扫描任务管理、脱敏任务管理等。调用API时需要使用终端节点(Endpoint),不同服务不同区域的终端节点不同。

8.2 认证鉴权

调用DSC API首先需要进行认证鉴权。DSC API使用Token认证方式。需要通过调用IAM服务的"获取用户Token"接口获取Token,Token值在响应消息头中通过X-Subject-Token返回。在后续的API调用中,需要在请求Header中携带X-Auth-Token参数。

Token获取示例(Python):

import requests
import json

def get_iam_token(iam_endpoint, account, password, domain):
url = f"{iam_endpoint}/v3/auth/tokens"
payload = {
"auth": {
"identity": {
"methods": ["password"],
"password": {
"user": {
"name": account,
"password": password,
"domain": {"name": domain}
}
}
},
"scope": {
"domain": {"name": domain}
}
}
}
response = requests.post(url, json=payload)
return response.headers.get("X-Subject-Token")

8.3 核心API接口

资产管理API

  • 查看OBS桶列表:GET /v1/{project_id}/sdg/asset/obs/buckets
  • 编辑资产名称:PUT /v1/{project_id}/sdg/asset/{asset_id}/name

扫描任务API

  • 创建扫描任务:POST /v1/{project_id}/sdg/scan/job
  • 查看规则列表:GET /v1/{project_id}/sdg/scan/rules

数据脱敏API

  • 数据脱敏:POST /v1/{project_id}/data/mask
  • 查询脱敏任务列表:GET /v1/{project_id}/sdg/server/mask/dbs/templates/{template_id}/tasks

水印API

  • 文档嵌入水印:POST /v1/{project_id}/sdg/doc/watermark/embed
  • 图片水印提取:POST /v1/{project_id}/image-address/watermark/extract
  • 查询OpenApi调用记录:GET /v1/{project_id}/sdg/openapi/call-records

8.4 Java SDK示例

华为云提供了DSC的Java SDK,可以简化API调用过程。

package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.http.HttpConfig;
import com.huaweicloud.sdk.dsc.v1.DscClient;
import com.huaweicloud.sdk.dsc.v1.model.*;

public class DscDemo {
public static void main(String[] args) {
String ak = "your-access-key";
String sk = "your-secret-key";
String endpoint = "dsc.cn-north-4.myhuaweicloud.com";
String projectId = "your-project-id";

ICredential credential = new BasicCredentials()
.withAk(ak).withSk(sk)
.withProjectId(projectId);

HttpConfig config = HttpConfig.getDefaultHttpConfig();
DscClient client = DscClient.newBuilder()
.withCredential(credential)
.withEndpoint(endpoint)
.withHttpConfig(config)
.build();

// 创建扫描任务示例
CreateScanJobRequest request = new CreateScanJobRequest();
CreateScanJobRequestBody body = new CreateScanJobRequestBody();
body.setJobName("example-scan-job");
body.setRuleGroupIds(Arrays.asList("rule-group-id"));
body.setScanType(CreateScanJobRequestBody.ScanTypeEnum.SINGLE);
// 设置其他参数...
request.setBody(body);
CreateScanJobResponse response = client.createScanJob(request);
System.out.println(response);
}
}

8.5 Python SDK示例

使用Python调用DSC API时,可以使用requests库直接调用REST API,也可以使用华为云Python SDK。

import requests
import json

def call_dsc_api(token, endpoint, api_path, method='GET', body=None):
url = f"https://{endpoint}{api_path}"
headers = {
"X-Auth-Token": token,
"Content-Type": "application/json"
}
if method.upper() == 'GET':
response = requests.get(url, headers=headers)
elif method.upper() == 'POST':
response = requests.post(url, headers=headers, json=body)
elif method.upper() == 'PUT':
response = requests.put(url, headers=headers, json=body)
elif method.upper() == 'DELETE':
response = requests.delete(url, headers=headers)
return response.json()

# 调用示例:查看OBS桶列表
token = get_iam_token(...) # 先获取Token
project_id = "your-project-id"
endpoint = "dsc.cn-north-4.myhuaweicloud.com"
api_path = f"/v1/{project_id}/sdg/asset/obs/buckets"
result = call_dsc_api(token, endpoint, api_path)
print(json.dumps(result, indent=2, ensure_ascii=False))

9. ROMA Connect连接器对接

除了直接调用API,DSC还可以通过ROMA Connect的连接器进行对接。ROMA Connect是华为云的应用与数据集成平台,通过DSC连接器可以便捷地将DSC的数据安全能力集成到企业的集成流中。

配置DSC连接器的步骤为:登录ROMA Connect控制台,在左侧导航栏选择"连接器",单击"新建连接",然后选择"数据安全中心"连接器。在弹窗中配置连接器信息,包括连接名称、Access Key(AK)、Secret Access Key(SK)和描述信息。AK和SK可以从已下载的credentials.csv文件中获取。

DSC连接器支持的动作包括:删除资产授权、添加资产授权、查看资产列表、编辑资产名称、开启/停止脱敏任务、查询脱敏任务执行列表、提取图片暗水印、图片嵌入暗水印、文档提取暗水印、文档嵌入水印、数据脱敏、提取数据水印、嵌入数据水印等。配置参数包括bucket_id、project_id、region_id、asset_name、bucket_name等。

10. 最佳实践与安全运营

10.1 使用专业版

建议企业根据业务需求选择DSC专业版。专业版相较于基础版提供了更全面的数据安全保护功能,特别是数据静态脱敏和数据水印注入/提取功能,对于有数据合规要求和防泄露需求的场景至关重要。

10.2 定期检查授权

DSC针对不同的资产模块需要获取对应的授权才能正常使用。建议定期检查业务具体资产,根据业务需求最小化配置资产的授权。不再使用的授权应及时停止,以减少安全风险。

10.3 配置告警通知

通过设置告警通知,并在新建或编辑敏感数据识别任务时配置通知主题,可以帮助及时获取资产的敏感数据识别结果,及时了解资产的安全风险。告警通知可以配置到邮件、短信等多种渠道。

10.4 OBS数据安全防护

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在OBS桶中。建议完成OBS数据安全防护最佳实践,随时了解OBS数据资产的安全状态。

10.5 审计日志

DSC的所有操作都会通过API形式记录在云审计服务中。开通云审计服务后,可以在云审计服务中查看有关DSC的所有操作记录,供安全审查使用。

11. 常见问题解答

问1:DSC支持哪些数据资产类型?

答:DSC支持OBS对象存储、RDS关系型数据库、DWS数据仓库、CSS云搜索服务、Hive、HBase、ECS自建数据库、ECS自建大数据等多种数据资产类型。数据库扩展包支持RDS、DWS、ECS自建数据库、Elasticsearch等。

问2:DSC的API可以直接对OBS数据进行水印操作吗?

答:不可以。DSC的API接口暂不支持直接对OBS桶数据进行添加或提取水印的操作。需要先将OBS桶数据读取到本地,再调用水印的API接口进行操作。

问3:云资产委托授权和资产中心数据授权有什么区别?

答:云资产委托授权是允许DSC访问其他提供数据服务的云产品,属于服务层面的授权。资产中心数据授权是允许DSC访问具体的云产品中存有的数据,如OBS桶里的文件、数据库中的数据等。两者都需要完成才能进行敏感数据识别和数据脱敏等操作。

问4:DSC支持哪些脱敏算法?

答:DSC支持多种脱敏算法,包括SHA256和SHA512等Hash脱敏算法。用户可以对指定数据类型配置脱敏规则实现敏感数据静态脱敏。脱敏算法覆盖了字符串、数值、日期等多种数据类型。

问5:如何查看DSC的操作审计日志?

答:DSC的所有操作都会通过API形式记录在云审计服务中。开通云审计服务后,可以在云审计服务控制台中查看有关DSC的所有操作记录,供安全审查使用。

问6:DSC的版本可以降级吗?

答:不可以。DSC不支持降低购买版本的规格。如果需要降低规格,需要先退订当前的DSC服务,再重新购买较低版本。

相关文章

华为云服务器购买怎么便宜?小公司省钱攻略来了!这样买立省好几千​

华为云服务器购买怎么便宜?小公司省钱攻略来了!这样买立省好几千​

很多朋友都在吐槽:“华为云服务器太贵了,预算有限实在买不起!” 其实,买华为云服务器贵不贵,关键看你会不会选、会不会买。今天就来给大家分享一套超实用的省钱攻略,小公司、创业团队也能轻松用得起稳定又安全…

华为云服务器采购总嫌贵?30%华为云返点返佣 + 旗舰级代理保障,这波省钱操作别错过!

华为云服务器采购总嫌贵?30%华为云返点返佣 + 旗舰级代理保障,这波省钱操作别错过!

最近不少做 IT 运维或企业采购的朋友跟我吐槽,公司要上华为云服务器,去官网一看报价直接犯了难 —— 按年付费算下来,比预期预算高出不少。要是赶上业务扩张需要多台服务器,这笔开支更是让财务部门直皱眉。…

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

上海汪远信息科技有限所在公司年销华为云产品3亿+,属于头部代理梯队,可为合作客户提供最高30%的返佣优惠,直接帮助企业降低30%的云资源成本。…

华为云代理商有哪些?华为云代理返点是真的么?

华为云代理商有哪些?华为云代理返点是真的么?

一,华为云代理商简介华为云代理商,顾名思义就是替华为云做华为云服务器数据库等公有云产品推广的代理商,每推广出一单华为云服务器,华为云会跟这个代理商结算佣金,佣金比例分为月度佣金,季度佣金和年度佣金,华…

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

一、华为云代理商的核心价值定位1. 代理商的角色与职责华为云代理商作为华为云生态的核心合作伙伴,承担着三重核心职能:•产品推广销售:负责推广销售华为云全系列云产品,包括云服务器ECS、云数据…

数据的“深喉”与隐形金矿:华为云对象存储返点背后的降维真相

数据的“深喉”与隐形金矿:华为云对象存储返点背后的降维真相

你,真的以为企业的数据躺在云端就万事大吉了?在这个被字节、像素和信息流淹没的数字深海中,每一张图片、每一帧视频、每一份交易日志,都在夜以继日地发出无声的“求救信号”。它们一方面渴望着最安全、最坚不可摧…