华为云用户手册

响应参数 状态码：200 表4 响应Body参数 参数 参数类型 描述 region_id String 当前项目所在region的id，如：xx-xx-1。 watermarked_file String 添加水印后的OBS图片地址，当前只支持OBS文件，格式为 obs://bucket/object ，其中bucket为和当前项目处于同一区域的OBS桶名称，object为对象全路径名。例如：obs://hwbucket/hwinfo/hw.png，其中obs://表示OBS存储，hwbucket为桶名，hwinfo/hw.png为对象全路径名。 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用 IAM 服务“获取用户Token接口”获取（响应消息头中X-Subject-Token的值） 表3 FormData参数 参数 是否必选 参数类型 描述 file 是 File 要添加水印的图片文件，添加的图片短边尺寸需要超过512像素。 blind_watermark 否 String 待嵌入的文字暗水印内容，长度不超过32个字符。当前仅支持数字及英文大小写。与图片暗水印image_watermark二选一填充。 image_watermark 否 File 待嵌入的图片暗水印文件，与文字暗水印 blind_watermark 二选一填充。

响应参数 状态码：200 表4 响应Body参数 参数 参数类型 描述 region_id String 当前项目所在region的id，如：xx-xx-1。 watermarked_file String 添加水印后的文档地址，当前只支持OBS对象，格式为 obs://bucket/object ，其中bucket为和当前项目处于同一区域的OBS桶名称，object为对象全路径名。例如：obs://bucket/info/hw.doc，其中obs://表示OBS存储，hwbucket为桶名，hwinfo/hw.doc为对象全路径名。 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息

请求示例 给obs://bucket/info/wm.doc路径下的WORD文档嵌入blind_watermark的明水印和visible_watermark的暗水印。 POST /v1/{project_id}/doc-address/watermark/embed { "region_id" : "xx-xx-1", "src_file" : "obs://bucket/info/wm.doc", "doc_type" : "WORD", "blind_watermark" : "blind_watermark", "visible_watermark" : "visible_watermark" }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务“获取用户Token接口”获取（响应消息头中X-Subject-Token的值） 表3 请求Body参数 参数 是否必选 参数类型 描述 region_id 是 String 项目所在region的id，如：xx-xx-1。 src_file 是 String 待添加水印的文档地址，当前只支持OBS对象，格式为 obs://bucket/object ，其中bucket为和当前项目处于同一区域的OBS桶名称，object为对象全路径名。例如：obs://bucket/info/wm.png，其中obs://表示OBS存储，bucket为桶名，info/wm.png为对象全路径名。 doc_type 是 String 待嵌入水印的文档类型。 dst_file 否 String 添加水印后的文档存放地址，格式和要求同src_file字段，不设置时，默认取src_file的值，即添加水印后覆盖原文件。 blind_watermark 否 String 暗文字水印内容，与“visible_watermark”字段至少有一个不为空 visible_watermark 否 String 明文字水印内容，与暗水印“blind_watermark”字段至少有一个不为空。 image_mark 否 String 待嵌入的图形明水印文件的地址, 字段格式要求同src_file字段，图形文件的格式必须为“png”或“jpg”，否则返回参数错误；图像文件大小不超过1MB visible_type 否 String 该字段控制明水印嵌入文字还是图片。默认为TEXT类型，需填写visible_watermark字段设置明文字水印； 当该字段为IMAGE时，需填写image_watermark字段设置水印图片地址此时 ，“visible_watermark”，“font_size”，“rotation”和“opacity”字段无效。 file_password 否 String 待加水印文件有密码时，读取文件的密码， 最大支持长度256。如果Office文档有读密码或域控的权限密码，请输入读密码，或者有读权限的域控密码。 marked_file_password 否 String 添加水印后给文件设置密码， 最大支持长度256。默认不加文档密码。 readonly_password 否 String 添加水印后给文件设置只读密码， 最大支持长度256。默认不加只读密码。 front 否 Integer 明水印字体大小，取值为[1,100]，默认值50 rotation 否 Integer 明水印旋转角度，逆时针方向，取值为[0,90]，默认值45。 opacity 否 Float 明水印的透明度，取值[0,1]，默认值为0.3；

请求示例 通过form表单提交请求，其中file是具体文件。 POST /v1/{project_id}/sdg/doc/watermark/embed { "file" : "test.doc", "doc_type" : "WORD", "opacity" : "0.1", "font_size" : "30", "rotation" : "45", "blind_watermark" : "blind_watermark", "visible_watermark" : "visible_watermark" }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务“获取用户Token接口”获取（响应消息头中X-Subject-Token的值） 表3 FormData参数 参数 是否必选 参数类型 描述 doc_type 是 String 要嵌入水印的文档类型 file_password 否 String 输入文件有密码时，读取文件的密码， 最大支持长度256。如果Office文档有读密码或域控的权限密码，请输入读密码，或者有读权限的域控密码。 marked_file_password 否 String 添加水印后给文件设置密码， 最大支持长度256。默认不加文档密码。 readonly_password 否 String 添加水印后给文件设置只读密码， 最大支持长度256。默认不加只读密码。 visible_watermark 否 String 明水印内容，与“blind_watermark”字段至少有一个不为空 font_size 否 String 明水印字体大小，取值为[1,100]，默认值50 rotation 否 String 明水印旋转角度，逆时针方向，取值为[0,90]，默认值45 opacity 否 String 明水印的透明度，取值[0,1]，默认值为0.3； blind_watermark 否 String 暗水印内容，与“visible_watermark”字段至少有一个不为空 file 是 File 要添加水印的文档 image_mark 否 File 图形水印的字节流。图形文件的格式必须为“png”或“jpg”，否则返回参数错误；图像文件大小不超过1MB；在分段的请求体“Content-Disposition”部分，参数“name”的值必须为“image_mark”。 visible_type 否 String 该字段为空时，默认为TEXT类型。 当该字段为IMAGE时: 请求的表单中必须包含名为“image”的图像文件，图像格式必须为“png”或“jpg”，否则返回参数错误； 图像文件大小不超过1MB； “visible_watermark”，“font_size”，“rotation”和“opacity”字段无效。

响应示例 状态码：200 请求成功 { "marked_data" : [ { "item2" : { "col2" : 3 }, "item1" : { "col1" : "test" } }, { "item2" : { "col2" : 5 }, "item1" : { "col1" : "test" } } ] } 状态码：400 参数错误 { "error_code" : "DSC.00000004", "error_msg" : "Invalid parameter" }

请求示例 嵌入内容为test12345678test的水印，水印密钥是keyword，字段类型列表中数据的字段名称为item1，该字段为主键。 POST https://{endpoit}/v1/{project_id}/sdg/database/watermark/embed { "watermark_content" : "test12345678test", "watermark_key" : "keyword", "columns" : [ { "name" : "item1", "type" : "INTEGER", "primary_key" : true }, { "name" : "item2", "type" : "INTEGER", "primary_key" : false } ], "data" : [ { "item1" : { "col" : 0 }, "item2" : { "col" : 3 } }, { "item1" : { "col" : 1 }, "item2" : { "col" : 4 } } ] }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 是 String 规则类别，内置规则(BUILT_IN)或自建规则(BUILT_SELF) id 是 String 规则ID logic_operator 是 String 逻辑运算符，"AND","OR","REGEX" min_match 是 Integer 最小匹配次数 risk_level 是 Integer 风险等级 rule_content 是 String 规则内容 rule_desc 否 String 规则描述 rule_name 是 String 规则名称 rule_type 是 String 规则类型，关键字(KEYWORD)、正则表达式(REGEX)或自然语言(NLP)

请求示例 修改规则名称为xxxx的自建规则，逻辑运算符是OR，其中最小匹配值为1、风险等级为1、规则内容为xxxx、规则描述为xxxx、规则类型为xxxx。 PUT /v1/{project_id}/sdg/server/scan/rules { "category" : "BUILT_SELF", "id" : "xxxxxxxxxxxxxxxxxxx", "logic_operator" : "OR", "min_match" : 1, "risk_level" : 1, "rule_content" : "xxxx", "rule_desc" : "xxxx", "rule_name" : "xxxx", "rule_type" : "xxxx" }

请求示例 脱敏策略列表中对字段col使用KEYWORD脱敏算法，将指定关键字keyword替换为target。 POST https://{endpoint}/v1/{project_id}/data/mask { "mask_strategies" : [ { "name" : "col", "algorithm" : "KEYWORD", "parameters" : { "key" : { "keyword" : "keyword" }, "target" : { "target" : "target" } } } ], "data" : [ { "col" : { "keyword" : "keyword" } } ] }

请求示例 创建任务名为xxxx的扫描任务，选择xxxxxxxxxxxx规则组，单次扫描，立即执行。 POST /v1/{project_id}/sdg/scan/job { "asset_ids" : [ "xxxx", "xxxx" ], "cycle" : "ONCE", "name" : "xxxx", "open" : true, "rule_group_ids" : [ "xxxx", "xxxx" ], "start_time" : 0, "time_zone" : 8, "topic_urn" : "xxxxxxxxxxxx", "use_nlp" : false }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 asset_ids 是 Array of strings 资产ID列表 cycle 是 String 扫描周期，日(DAY)，周(WEEK)，月(MONTH)，单次扫描(ONCE) name 是 String 扫描任务名 open 否 Boolean 是否开启任务 rule_group_ids 是 Array of strings 规则组ID列表 start_time 否 Long 扫描任务开始时间 time_zone 否 String 时区 topic_urn 否 String 主题的唯一资源标识符 use_nlp 否 Boolean 是否用nlp

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 否 String 规则类别，内置规则(BUILT_IN)或自建规则(BUILT_SELF) default_status 否 Boolean 是否默认规则组 group_desc 否 String 规则组描述 group_name 否 String 规则组名称 id 否 String 规则组ID rule_ids 否 Array of strings 包含的规则ID列表

请求示例 创建规则组名称为xxxx的自建扫描规则组。 POST /v1/{project_id}/sdg/server/scan/groups { "category" : "BUILT_SELF", "group_desc" : "xxxx", "group_name" : "xxxx", "rule_ids" : [ "xxxxxxxxxxxxxxxxxxx", "xxxxxxxxxxxxxxxxxxx" ] }

请求示例 创建规则名称为xxxx的自建规则，逻辑运算符选择AND，其中最小匹配值为1、风险等级为1、规则内容为xxxx、规则描述为xxxx、规则类型为KEYWORD。 POST /v1/{project_id}/sdg/server/scan/rules { "category" : "BUILT_SELF", "logic_operator" : "AND", "min_match" : 1, "risk_level" : 1, "rule_content" : "xxxx", "rule_desc" : "xxxx", "rule_name" : "xxxx", "rule_type" : "KEYWORD" }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 category 是 String 规则类别，内置规则(BUILT_IN)或自建规则(BUILT_SELF) id 否 String 规则ID logic_operator 是 String 逻辑运算符，"AND","OR","REGEX" min_match 是 Integer 最小匹配次数 risk_level 是 Integer 风险等级 rule_content 是 String 规则内容 rule_desc 否 String 规则描述 rule_name 是 String 规则名称 rule_type 是 String 规则类型，关键字(KEYWORD)、正则表达式(REGEX)或自然语言(NLP)

请求参数 表3 请求Body参数 参数 是否必选 参数类型 描述 buckets 否 Array of BucketBean objects OBS桶列表 表4 BucketBean 参数 是否必选 参数类型 描述 asset_name 否 String 资产名称 location 否 String 桶位置 bucket_name 否 String 桶名称 bucket_policy 否 String 桶策略

请求示例 添加桶名称为xxxx的数据资产扫描授权。 POST /v1/{project_id}/sdg/asset/obs/buckets { "buckets" : [ { "asset_name" : "xxxx", "location" : "xxxx", "bucket_name" : "xxxx", "bucket_policy" : "private" } ] }

DSC安全最佳实践 安全性是华为云与您的共同责任。华为云负责云服务自身的安全，提供安全的云；作为租户，您需要合理使用云服务提供的安全能力对数据进行保护，安全地使用云。详情请参见责任共担。 本文从以下几个维度给出建议，您可以评估DSC使用情况，并根据业务需要在本指导的基础上进行安全配置。 使用 数据安全中心 专业版 DSC专业版相较于基础版提供更全面的数据安全保护功能，支持数据静态脱敏和数据水印注入/提取功能，其中数据水印可以全方位确保敏感信息不被泄露，数据水印注入/提取可以帮助追溯数据流转过程，精确定位泄露单位和责任人。 OBS数据安全防护 敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据，这些数据通常会以不同的格式存储在您的OBS桶中，一旦发生泄漏，会给企业带来重大的经济和名誉损失。建议您完成OBS数据安全防护最佳实践以便随时了解您的OBS数据资产安全状态。 定期检查并停止不再使用的授权 DSC针对您不同的资产模块需获取对应的授权才能正常使用，建议您定期检查业务具体资产，并根据您的业务述求来最小化配置资产的授权。具体操作请参见云资产委托授权/停止授权。 配置数据静态脱敏功能 DSC专业版提供数据静态脱敏功能，可以帮助您预防敏感数据泄露。具体配置请参考数据静态脱敏。 打开并配置告警通知 通过设置告警通知，并在新建/编辑敏感数据识别任务时，配置通知主题以帮助您及时获取资产的敏感数据识别结果，及时了解资产的安全风险，具体操作请参见设置告警通知。

步骤二：配置规则 您可以直接配置审计与防护策略，也可以根据审计日志的风险点设置审计与防护策略。策略配置完成后，开启对应策略，将对应用数据资产开启针对性的防护与审计。 配置白名单，请参见创建白名单。 配置访问控制规则，请参见访问控制。 配置风险防护规则，请参见添加自定义规则和启用内置规则。 配置内容替换规则，请参见添加内容替换规则。 配置脱敏规则，请参见添加脱敏规则。 配置水印规则，请参见添加水印规则。 在告警或检索页面配置策略，请参见告警页面配置策略和检索页面配置策略。

共享云硬盘 共享云硬盘是一种支持多个云服务器并发读写访问的数据块级存储设备，具备多挂载点、高并发性、高性能、高可靠性等特点。主要应用于需要支持集群、HA（High Available，指高可用集群）能力的关键企业应用场景，多个云服务器可同时访问一个共享云硬盘。 一块共享云硬盘最多可同时挂载至16台云服务器，云服务器包括弹性云服务器和裸金属服务器。实现文件共享需要搭建共享文件系统或类似的集群管理系统，例如Windows MS CS 集群、Veritas VCS集群和CFS集群等。共享云硬盘的详细介绍参见管理共享云硬盘。 使用共享云硬盘必须搭建共享文件系统或类似的集群管理系统。直接挂载至多台云服务器无法实现共享功能，且存在数据覆盖风险。 图1 共享云硬盘使用场景 父主题： 基本概念

云硬盘加密 当您由于业务需求从而需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。 EVS加密采用行业标准的XTS-AES-256加密算法，利用密钥加密云硬盘。加密云硬盘使用的密钥由 数据加密 服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块（HSM，Hardware Security Module），从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 加密云硬盘的详细介绍参见管理加密云硬盘。 已经购买完成的云硬盘不支持更改加密属性。 父主题： 基本概念

云硬盘基本概念 表1 云硬盘基本概念 概念 说明 相关文档 IOPS 云硬盘每秒进行读写的操作次数。 云硬盘类型及性能介绍 吞吐量 云硬盘每秒成功传送的数据量，即读取和写入的数据量。 IO读写时延 云硬盘连续两次进行读写操作所需要的最小时间间隔。 突发能力 小容量云硬盘可以在一定时间内达到IOPS突发上限，超过IOPS上限的能力。 VBD 磁盘模式，VBD类型的云硬盘只支持简单的SCSI读写命令。 磁盘模式介绍 SCSI 磁盘模式，SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。 父主题： 基本概念

轮换凭据和密钥 为提升系统安全性，需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新，多应用系统凭据更新容易遗漏，可能带来业务中断风险。 通过凭据管理服务，提供凭据多版本管理，应用节点通过API/SDK调用实现应用层凭据安全轮换。 解决方案说明如下： 管理员通过凭据管理控制台或API接口新增凭据版本，更新目标凭据内容。 应用节点通过调用API/SDK 获取最新凭据版本，或指定版本状态的凭据，实现全量或灰度的凭据轮换。 定期重复1和2实现凭据定期轮转。 加密密钥开启密钥轮换，提高存储安全性。

凭据事件通知 用户为凭据对象订阅关联事件后，当事件为启用状态且基础事件类型在凭据对象上触发时，通过 消息通知 服务（ SMN ）对应事件通知会发送至事件指定的通知主题上，或者通过EG（事件网格）服务中创建的云服务事件订阅来通知云服务。基础事件类型包括：凭据新版本创建，凭据版本过期，凭据删除，凭据轮转。配置事件通知后，用户可以通过 函数工作流 服务(FunctionGraph)中基于事件驱动的托管函数来自动化轮转凭据。 解决方案说明如下： 1.管理员通过凭据管理服务的事件通知控制台或者调用API接口新增事件。 2.创建或更新凭据时，关联订阅所需的事件对象。 3.用户在凭据状态发生改变时收到事件通知消息，并可在函数工作流服务(FunctionGraph)中配置函数，来实现凭据自动更新或轮转等功能。

凭据管理基本功能 表1 凭据管理基本功能 功能 服务内容 凭据全生命周期管理 创建、查看、定时删除、立即删除、取消删除、备份和恢复凭据 修改凭据的加密密钥和描述信息 凭据版本管理 创建、查看凭据版本 查看凭据值 凭据版本到期设置 凭据版本状态管理 更新、查询、删除凭据版本状态 凭据标签管理 添加、搜索、编辑、删除标签 凭据事件管理 创建、查看、删除事件 修改凭据事件类型 凭据通知管理 查看变更事件类型、事件名称、凭据名称 表2 轮转凭据支持凭据类型 凭据类型 数据库类型\实例 RDS凭据 MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。 TaurusDB凭据 TaurusDB实例

凭据安全检索 应用程序访问数据库或其他服务时，需要提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息进行身份校验，通常是直接使用明文方式将上述凭据嵌入在应用程序的配置文件中。该场景存在凭据信息硬编码、明文存储易泄露和安全性较低等风险问题。 通过凭据管理服务，用户可以将代码中的硬编码替换为对API 的调用，以便用编程的方式动态查询凭据，由于该凭据中不包含敏感信息，保证凭据不被泄露。 解决方案说明如下： 应用读取配置时，调用凭据管理服务API检索读取凭据（代替硬编码和明文凭据）。

大量数据加解密 当您有大量数据（例如：照片、视频或者数据库文件等）需要加解密时，用户可采用信封加密方式加解密数据，无需通过网络传输大量数据即可完成数据加解密。 加密本地文件流程，如图2所示。 图2 加密本地文件 流程说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 解密本地文件流程，如图3所示。 图3 解密本地文件 流程说明如下： 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decrypt-datakey”接口，使用对应的用户主密钥（即生成密文的数据加密密钥时所使用的用户主密钥）来解密密文的数据加密密钥，取得明文的数据加密密钥。 如果对应的用户主密钥被误删除，会导致解密失败。因此，需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。