【OSS安全最佳实践】对OSS内身份证图片中身份证号举行脱敏
为确生存储在私有OSS Bucket特定文件夹中包罗中国本地身份证信息的PNG、JPG、JPEG、BMP或WEBP格式图片,在与其他用户共享时身份证信息不被泄漏,可使用数据安全中心 DSC(Data Security Center)的图片脱敏功能。DSC现在仅支持对身份证号举行掩蔽处理。脱敏后的图片会自动生存到同一个OSS Bucket下与DSC脱敏任务关联的aliyun_dsc_desensitization文件夹内。通过设置aliyun_dsc_desensitization文件夹的访问权限,实现敏感图片的安全共享。方案概览
图片脱敏样式:
脱敏前示例
脱敏后示例
https://img-blog.csdnimg.cn/img_convert/c37361fe9cbe3ea6d969ea3ec09a601c.png
https://img-blog.csdnimg.cn/img_convert/523954a30931c5aec9903b5305e5ab32.png
图片脱敏的工作流程:
https://i-blog.csdnimg.cn/direct/1df5325ded7746dc93d9b575b03c04d5.png
要实现以上图片脱敏和共享,需要五步:
[*] 创建OSS Bucket并上传文件:创建私有读写权限的OSS Bucket,并上传包罗中国本地身份证信息的图片到OSS Bucket的一个文件夹(比方imgtest)下,该文件夹内图片继承Bucket的私有权限。
[*] 同步OSS Bucket到DSC:将OSS Bucket同步到DSC,无需授权毗连,即可创建OSS图片脱敏任务。
DSC会每天破晓自动同步新增资产,对于当天创建的资产,需要手动实行资产同步操作。
[*] 新增脱敏任务:创建图片脱敏任务,设置待脱敏图片的OSS Bucket文件路径。
[*] 启动脱敏任务:启动任务,对OSS Bucket中图片举行辨认和脱敏,将脱敏后的图片生存到aliyun_dsc_desensitization文件夹中。
[*] 设置RAM用户访问脱敏图片:通过Bucket Policy授予指定RAM用户只读访问aliyun_dsc_desensitization/imgtest文件夹的权限,实现脱敏后的图片共享。
前提条件
[*] 当前账号已购买数据安全中心实例并授权数据安全中心访问其他阿里云资源。
OSS图片脱敏是数据安全中心的增值服务,实现图片脱敏需要足够的图片脱敏数和增强图片辨认数目。本示例场景购买数据安全中心折务,需要开启图片脱敏和增强图片辨认,购买业务需要的图片脱敏数和增强图片辨认数目,其他服务可自行选择是否购买。
[*] 当前账号已开通对象存储OSS。
[*] 已准备需要被授权的RAM用户。RAM用户相关内容,请参见创建RAM用户。
本示例RAM用户通过控制台访问已授权的OSS图片,RAM用户的访问方式需要选中控制台访问。
步骤一:创建OSS Bucket并上传图片
1.1 创建OSS Bucket
[*] 在对象存储OSS控制台的Bucket列表页面,单击创建Bucket。
[*] 在创建 Bucket面板,设置如下参数,其他参数接纳默认设置,然后单击完成创建。
https://img-blog.csdnimg.cn/img_convert/ff2fb76c3d4128577a55b17d2a34f77f.png
1.2 上传图片到OSS Bucket的一个文件夹中
[*] 在对象存储OSS控制台的Bucket列表页面的Bucket列表,单击OSS Bucket名称。
[*] 在文件列表页面,单击新建目录,输入目录名(比方:imgtest),单击确定。
[*] 进入imgtest文件目录下,单击上传文件。
[*] 单击扫描文件,选择当地的文件(本文上传示例图片身份证.png)后,单击上传文件,等待文件上传成功。
https://img-blog.csdnimg.cn/img_convert/9a730426501dedfa82afd3eee48bd8d6.png
步骤二:同步OSS Bucket到DSC
[*] 在授权管理页签,单击资产授权管理。
[*] 在资产授权管理面板左侧产品名称导航栏,单击OSS。
[*] 在资产授权管理面板,单击资产同步。
https://img-blog.csdnimg.cn/img_convert/e4ba4e2c1f55b6bbba3ff5550a084d2d.png
步骤三:新增脱敏任务
[*] 在数据安全中心的OSS图片脱敏页面,单击创建脱敏任务。
[*] 在创建脱敏任务面板,完成图片脱敏设置。
Bucket选择为目标OSS Bucket,脱敏范围设置为存储身份证图片的文件夹imgtest,启动时间为立即实行,设置脱敏图片为包罗身份证信息的图片(中国本地),脱敏方式为掩蔽。
https://img-blog.csdnimg.cn/img_convert/fd77bbe4c7778b3031f28ebdd4358721.png
步骤四:启动脱敏任务
4.1 实行任务
[*] 在OSS图片脱敏页面,新建的脱敏任务会自动立即实行。
https://img-blog.csdnimg.cn/img_convert/9a4bc4bbccbaf39c97bf4ecd18b16a14.png
[*] 单击操作列的详情,等待状态显示为已完成,查看已成功脱敏的图片信息。
https://img-blog.csdnimg.cn/img_convert/19cbc632947a16a25fb362758a16123a.png
4.2 校验脱敏结果
[*] 前往对象存储OSS控制台的Bucket列表页面,单击目标Bucket名称。
[*] 通过文件夹aliyun_dsc_desensitization/imgtest,查看已脱敏图片,可以看到身份证号已脱敏成功。
https://img-blog.csdnimg.cn/img_convert/4d0cc25cc5eef338ab2d77ba1d641051.png
步骤五:设置特定RAM用户访问已脱敏图片
5.1 待被授权的RAM用户查看自己的账号ID
[*] RAM用户登录阿里云控制台,鼠标指针移动到右上角的头像上,复制并生存账号ID(UID)。
https://img-blog.csdnimg.cn/img_convert/3a1f9332da0312756d8da3590ca3e367.png
[*] RAM用户将生存的UID发送给当前账号的用户。
5.2 当前账号的用户设置Bucket Policy授予RAM用户读取图片的权限
[*] 当前账号所属用户在OSS Bucket的Bucket授权计谋页面,单击按语法计谋添加。
[*] 编辑并生存以下计谋内容,授予指定RAM用户(UID为20214760404935xxxx)对目标OSS Bucket(examplebucket)下指定目录(前缀为aliyun_dsc_desensitization/imgtest)的只读权限。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": [
"oss:GetBucketInfo"
],
"Principal": [
"20214760404935xxxx"
],
"Resource": [
"acs:oss:*:192479427903xxxx:examplebucket"
]
}, {
"Effect": "Allow",
"Action": [
"oss:Get*"
],
"Principal": [
"20214760404935xxxx"
],
"Resource": [
"acs:oss:*:192479427903xxxx:examplebucket/aliyun_dsc_desensitization/imgtest/*"
]
}, {
"Effect": "Allow",
"Action": [
"oss:ListObjects",
"oss:ListObjectVersions"
],
"Principal": [
"20214760404935xxxx"
],
"Resource": [
"acs:oss:*:192479427903xxxx:examplebucket"
],
"Condition": {
"StringLike": {
"oss:Prefix": [
"aliyun_dsc_desensitization/imgtest/*"
]
}
}
}]
}
5.2 已被授权的RAM用户验证访问已授权的图片
RAM用户在对象存储OSS控制台,通过已授权图片的OSS访问地址https://oss.console.aliyun.com/bucket/oss-cn-hangzhou/examplebucket/object?path=aliyun_dsc_desensitization%2Fimgtest%2F访问已脱敏的图片信息。
https://img-blog.csdnimg.cn/img_convert/520bbbb1d50046b3892947ddfd95d1e5.png
总结
对于存储在OSS Bucket中包罗中国本地身份证信息的图片,可以脱敏身份证号信息后举行共享,以免因个人身份证号泄漏,造成产业损失、信誉损失、身份被冒用等影响。
定时脱敏任务
OSS图片脱敏任务支持按照每天、每月某天或每周某天的破晓的00:00:00定时触发,对增量图片举行辨认和脱敏,以保障更新的图片能及时被脱敏使用。
https://img-blog.csdnimg.cn/img_convert/7637a3e8fb709180cc3225f27955a8c5.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]