响应示例 { "security_group_rule": { "id": "F4966B29-D21D-B211-B6B4-0018E1C5D866", "ip_range": { "cidr": "0.0.0.0/0" }, "parent_group_id": "48700ff3-30b8-4e63-845f-a79c9633e9fb", "to_port": 443, "ip_protocol": "tcp", "group": { }, "from_port": 443 } }

请求示例 POST https://{endpoint}/v2.1/{project_id}/os-security-group-rules { "security_group_rule": { "from_port": "443", "ip_protocol": "tcp", "to_port": "443", "cidr": "0.0.0.0/0", "parent_group_id": "48700ff3-30b8-4e63-845f-a79c9633e9fb" } }

请求消息 请求参数如表2所示。 表2 请求参数 参数 是否必选 参数类型 描述 security_group_rule 是 Object 参见表3，在消息体中指定。 表3 请求参数security_group_rule对象 参数 是否必选 参数类型 描述 parent_group_id 是 String 相关联的安全组ID，UUID格式。 ip_protocol 是 String IP协议：icmp，tcp，或者udp。 from_port 是 Integer 起始端口，范围1-65535，且不大于to_port(icmp时，表示type，范围是0-255)。 to_port 是 Integer 终止端口，范围1-65535，且不小于from_port(icmp时，表示code，范围是0-255，且如果from_port为-1，to_port为-1表示任意ICMP报文)。 cidr 否 String 地址范围，CIDR格式，比如：“192.168.0.0/24”。 group_id 否 String 源安全组ID 若同时指定group_id和cidr，则以group_id为准。

响应消息 响应参数如表4所示。 表4 响应参数 参数 是否必选 参数类型 描述 security_group_rule 是 Object 参见表5，在消息体中指定。 表5 响应参数security_group_rule对象 参数 是否必选 参数类型 描述 parent_group_id 是 String 相关联的安全组ID，UUID格式。 ip_protocol 是 String IP协议：icmp，tcp，或者udp from_port 是 Integer 起始端口，范围1-65535，且不大于to_port 。 当协议类型为icmp时，from_port为icmp协议的type，范围是0-255。 to_port 是 Integer 终止端口，范围1-65535。 当协议类型为icmp时，to_port为icmp协议的code，范围是0-255。 如果from_port为-1，且to_port为-1时，表示任意ICMP报文。 ip_range 是 Object 包含CIDR信息。参见ip_range对象，比如： "ip_range": {"cidr": "0.0.0.0/0"} group 是 Object 固定返回空字典。 id 是 String 安全组规则ID，UUID格式。 表6 ip_range对象 参数 是否必选 参数类型 描述 cidr 是 String 地址范围，CIDR格式，比如：“192.168.0.0/24”

响应消息 响应参数如表2所示。 表2 响应参数 参数 是否必选 参数类型 描述 security_groups 是 Array of objects security_group列表，参见表3。 表3 security_group对象 参数 是否必选 参数类型 描述 description 是 String 安全组描述信息，长度0-255 id 是 String 安全组ID，UUID格式 name 是 String 安全组名字，长度0-255 rules 是 Array of objects 安全组规则列表，参见表4 tenant_id 是 String 租户ID或项目ID 表4 security_group_rule对象 参数 是否必选 参数类型 描述 parent_group_id 是 String 相关联的安全组ID，UUID格式。 ip_protocol 是 String 协议类型或直接指定IP协议号，取值可为icmp，tcp，udp或IP协议号。 from_port 是 Integer 起始端口，范围1-65535，且不大于to_port。 ip_protocol设置为icmp时，from_port表示type，范围是0-255。 to_port 是 Integer 终止端口，范围1-65535，且不小于from_port。 ip_protocol设置为icmp时，to_port表示code，范围是0-255，且如果from_port为-1，to_port为-1表示任意ICMP报文。 ip_range 是 Object 对端ip网段，cidr格式，参见表5。 ip_range或者group参数的值，必须有一个为空。 group 是 Object 对端安全组的名称和对端安全组所属租户的租户ID，参见表6。 ip_range或者group参数的值，必须有一个为空。 id 是 String 安全组规则ID，UUID格式。 表5 ip_range对象 参数 是否必选 参数类型 描述 cidr 否 String 对端IP网段，cidr格式。 表6 group对象 参数 是否必选 参数类型 描述 tenant_id 否 String 对端安全组所属租户的租户ID name 否 String 对端安全组的名称

响应示例 { "security_groups": [ { "rules": [ { "from_port": null, "group": { "tenant_id": "bb1118612ba64af3a6ea63a1bdcaa5ae", "name": "default" }, "ip_protocol": null, "to_port": null, "parent_group_id": "bc4ac1d1-dc77-4b7d-a97d-af86eb0dc450", "ip_range": {}, "id": "bb3cc988-e06a-49f6-b668-600e8bf193ee" }, { "from_port": null, "group": { "tenant_id": "bb1118612ba64af3a6ea63a1bdcaa5ae", "name": "default" }, "ip_protocol": null, "to_port": null, "parent_group_id": "bc4ac1d1-dc77-4b7d-a97d-af86eb0dc450", "ip_range": {}, "id": "f9371051-d7e1-4be4-8748-77b1e0913730" } ], "tenant_id": "bb1118612ba64af3a6ea63a1bdcaa5ae", "description": "default", "id": "bc4ac1d1-dc77-4b7d-a97d-af86eb0dc450", "name": "default" }, { "rules": [ { "from_port": 200, "group": {}, "ip_protocol": "tcp", "to_port": 400, "parent_group_id": "b3e4b615-a40f-4e1c-92af-2e0d382141d5", "ip_range": { "cidr": "0.0.0.0/0" }, "id": "3330120d-bbd1-4a73-bda9-0196a84d5670" }, { "from_port": 201, "group": {}, "ip_protocol": "tcp", "to_port": 400, "parent_group_id": "b3e4b615-a40f-4e1c-92af-2e0d382141d5", "ip_range": { "cidr": "0.0.0.0/0" }, "id": "b550c9a6-970a-462d-984e-265e88020818" } ], "tenant_id": "bb1118612ba64af3a6ea63a1bdcaa5ae", "description": "desc-sg", "id": "b3e4b615-a40f-4e1c-92af-2e0d382141d5", "name": "test-sg" } ] }

查看数据访问日志 在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。 单击左侧导航树中的“数据访问审计”，进入审计日志页面。 图1 数据访问审计 您可以通过切换页签，查看不同数据源的审计日志。日志范围默认1小时，支持自定义时段查询，自定义时段时的最大查询时间间隔为一个月。 DWS审计日志：日志列表默认使用最新DWS数据连接。单击查看日志详情，可查看当前日志的全量信息。 DWS审计日志支持导出，单击“导出”后，会下载当前页的json数据。 图2 DWS审计日志列表 MRS Hive审计日志：MRS Hive日志列表默认不展示日志内容，而是支持根据配置条件进行检索，检索结果按照页签呈现，支持展示最多5个检索结果页签。 图3 MRS Hive审计日志列表 DLI 审计日志：DLI日志列表默认展示日志信息。单击日志名查看日志详情，可查看当前日志的全量信息。 图4 DLI审计日志列表

约束与限制 对于DWS数据源，数据访问审计需要手动开启DWS集群的审计功能开关和审计项。另外当未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录，因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前 IAM 用户身份查看审计记录）。 对于MRS数据源，查看审计数据依赖于数据连接中Agent的版本，请确保 CDM 集群为2.10.0.300及以上版本。且MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。

前提条件 为实现MRS Hive数据源的数据访问审计，需要满足如下条件： MRS Hive数据连接中选择Agent代理的CDM集群为2.10.0.300及以上版本。 MRS Hive数据连接中的用户账号需要同时满足如下条件： 需要配置至少具备Cluster资源管理权限的角色（可直接配置为默认的Manager_operator角色）。 需要配置hive用户组。 为实现DWS数据源的数据访问审计，需要满足如下条件： 已开启DWS集群的审计功能开关audit_enabled。 审计功能开关默认开启，如果已关闭则请参考修改数据库参数章节将audit_enabled设置为ON。 已开启需要审计的审计项。 DWS各类审计项及其开启方法，请参考设置数据库审计日志章节。 对于DWS数据源，未开启三权分立时，默认拥有SYSADMIN属性的用户可以查看审计记录；如果开启了三权分立，则只有拥有AUDITADMIN属性的用户才可以查看审计记录。因此需要保证数据连接中的账号或当前用户账号拥有上述权限（未开启细粒度认证前，使用数据连接上的账号查看审计记录；如果开启了细粒度认证，则使用当前IAM用户身份查看审计记录）。

功能介绍 数据安全包括如下功能： 访问权限管理 统一权限治理基于MRS、DWS、DLI服务，提供数据权限管理能力。您可以创建空间权限集、权限集或角色，并通过这些权限配置模型实现MRS、DWS、DLI数据的访问控制，按需为用户、用户组分配最小权限，从而降低企业数据信息安全风险。 敏感数据识别 敏感数据识别通过用户创建或内置的数据识别规则和规则组自动发现敏感数据并进行数据分级分类标注。 隐私保护管理 隐私保护管理可以通过数据静态脱敏、动态脱敏、数据水印、文件水印和动态水印等方式来防止敏感数据遭到有意或无意的误用、泄漏或盗窃，从而帮助企业采取合理措施来保护其敏感数据的机密性和完整性、可用性。 数据安全运营 提供数据安全诊断能力、 数据湖 访问审计日志查询能力，方便用户更好的做到安全管控。

特点优势 数据安全融合了不同的大数据服务进行统一入口管理，包括MRS、DWS、DLI，统一的权限配置入口能力，提高了易用性和可维护性。 数据安全以数据为中心，提供了围绕数据全链路的数据安全能力，如统一权限治理、敏感 数据治理 、隐私保护策略管理。 访问权限管理支持按照项目空间分配空间权限集（每个项目空间可以管理的库表权限范围），空间内按照角色给不同用户、用户组进行权限分配，跨空间依赖支持灵活按需的权限申请审批能力。 敏感数据识别支持敏感数据的分级分类，自动识别发现，以及基于敏感数据等级的安全管控策略能力。 隐私保护管理提供了静态与动态的数据脱敏能力、数据水印能力，满足业务需求同时保证数据安全。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 图1 华为云安全责任共担模型 父主题： 安全

背景信息 数据库审计功能对数据库系统的安全性至关重要。数据库审计管理员可以利用审计日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。 关于审计功能，用户需要了解以下几点内容： 审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。 除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，会立即生效，无需重启数据库。 目前， GaussDB 支持以下审计项如表1所示。如需要修改具体的审计配置项，请联系管理员进行处理。 表1 配置审计 项 配置项 描述 用户登录、注销审计 参数：audit_login_logout 默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 数据库启动、停止、恢复和切换审计 参数：audit_database_process 默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。 用户锁定和解锁审计 参数：audit_user_locked 默认值为1，表示开启审计用户锁定和解锁功能。 用户访问越权审计 参数：audit_user_violation 默认值为0，表示关闭用户越权操作审计功能。 授权和回收权限审计 参数：audit_grant_revoke 默认值为1，表示开启审计用户权限授予和回收功能。 对用户操作进行全量审计 参数：full_audit_users 默认值为空字符串，表示采用默认配置，未配置全量审计用户。 不需要审计的客户端名称及IP地址 参数：no_audit_client 默认值为空字符串，表示采用默认配置，未将客户端及IP加入审计黑名单。 数据库对象的CREATE，ALTER，DROP操作审计 参数：audit_system_object 默认值为67121159，表示对DATABASE、SCHEMA、USER、SQL Patch这四类数据库对象的CREATE、ALTER、DROP操作进行审计。 具体表的INSERT、UPDATE和DELETE操作审计 参数：audit_dml_state 默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。 SELECT操作审计 参数：audit_dml_state_select 默认值为0，表示关闭SELECT操作审计功能。 COPY审计 参数：audit_copy_exec 默认值为1，表示开启copy操作审计功能。 执行存储过程和自定义函数的审计 参数：audit_function_exec 默认值为0，表示不记录执行存储过程和自定义函数的审计日志。 执行白名单内的系统函数审计 参数：audit_system_function_exec 默认值为0，表示不记录执行系统函数的审计日志。 SET审计 参数：audit_set_parameter 默认值为0，表示不记录set操作审计日志。 事务ID记录 参数：audit_xid_info 默认值为0，表示关闭审计日志记录事务ID功能。 内部工具连接及操作审计 参数：audit_internal_event 默认值为off，表示不对内部工具cm_agent、gs_clean和WDRXdb的登录、退出及其他SQL操作进行审计。

背景信息 数据库审计功能对数据库系统的安全性至关重要。数据库审计管理员可以利用审计日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。 关于审计功能，用户需要了解以下几点内容： 审计总开关GUC参数audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。 除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，不需要重启数据库便可生效。 目前，GaussDB支持以下审计项如表1所示。如需要修改具体的审计配置项，请联系管理员进行处理。 表1 配置审计项 配置项 描述 用户登录、注销审计 参数：audit_login_logout 默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 数据库启动、停止、恢复和切换审计 参数：audit_database_process 默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。 用户锁定和解锁审计 参数：audit_user_locked 默认值为1，表示开启审计用户锁定和解锁功能。 用户访问越权审计 参数：audit_user_violation 默认值为0，表示关闭用户越权操作审计功能。 授权和回收权限审计 参数：audit_grant_revoke 默认值为1，表示开启审计用户权限授予和回收功能。 对用户操作进行全量审计 参数：full_audit_users 默认值为空字符串，表示采用默认配置，未配置全量审计用户。 不需要审计的客户端名称及IP地址 参数：no_audit_client 默认值为空字符串，表示采用默认配置，未将客户端及IP加入审计黑名单。 数据库对象的CREATE，ALTER，DROP操作审计 参数：audit_system_object 默认值为67121159，表示对DATABASE、SCHEMA、USER、NODE GROUP这四类数据库对象的CREATE、ALTER、DROP操作进行审计。 具体表的INSERT、UPDATE和DELETE操作审计 参数：audit_dml_state 默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。 SELECT操作审计 参数：audit_dml_state_select 默认值为0，表示关闭SELECT操作审计功能。 COPY审计 参数：audit_copy_exec 默认值为1，表示开启copy操作审计功能。 执行存储过程和自定义函数的审计 参数：audit_function_exec 默认值为0，表示不记录执行存储过程和自定义函数的审计日志。 执行白名单内的系统函数审计 参数：audit_system_function_exec 默认值为0，表示不记录执行系统函数的审计日志。 SET审计 参数：audit_set_parameter 默认值为0，表示不记录set操作审计日志 事务ID记录 参数：audit_xid_info 默认值为0，表示关闭审计日志记录事务ID功能。 内部工具连接及操作审计、DN上对来自CN的登录或者退出登录审计 参数：audit_internal_event 默认值为off，表示不对内部工具cm_agent、gs_clean和WDRXdb的登录或者退出登录及操作进行审计，DN上不对来自CN的登录或者退出登录进行审计。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。安全性是华为云与您的共同责任，如所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全