GaussDB-口令脱敏机制

GaussDB-口令脱敏机制

可获得性

本特性自V300R002C00版本开始引入。

特性简介

在数据库审计日志或运行日志中打印SQL语句，或者在系统表或系统视图中记录SQL语句时，对SQL语句中包含的可识别的口令或密钥进行掩码脱敏处理，以防止敏感信息泄露。

客户价值

防止口令或密钥等敏感信息泄露，提升数据安全性。

特性描述

用户无需进行参数配置和执行其他操作，在打印SQL语句前，系统自动将识别到的口令或密钥信息进行脱敏。

支持口令或密钥脱敏的SQL语句场景如下：

• 对CREATE ROLE、CREATE USER、CREATE GROUP语句中的PASSWORD或IDENTIFIED BY参数进行脱敏。
• 对ALTER ROLE、ALTER USER语句中的PASSWORD、IDENTIFIED BY或REPLACE参数进行脱敏。
• 对SET ROLE、SET SESSION AUTHORIZATION语句中的PASSWORD参数进行脱敏。
• 对CREATE/ALTER SERVER语句中的secret_access_key参数进行脱敏。
• 对CREATE/ALTER TEXT SEARCH DICTIONARY语句中的FILEPATH参数如果为OBS目录则进行脱敏。
• 对DBE_SCHEDULER.CREATE_CREDENTIAL函数的password参数进行脱敏。
• 对gs_encrypt_aes128、gs_decrypt_aes128、gs_encrypt、gs_decrypt、gs_encrypt_bytea、gs_decrypt_bytea、aes_encrypt、aes_decrypt加解密函数中的密钥参数进行脱敏。
• 对pg_create_physical_replication_slot_extern函数中OBS归档槽相关敏感信息进行脱敏。

特性增强

无。

特性约束

• 只针对SQL语法中明确定义的口令或密钥信息进行脱敏，不支持用户自定义参数场景。
• 如果执行SQL语句中存在语法错误场景可能会导致脱敏失效。

依赖关系

无。

 

更多详情请参考GaussDB 文档中心：https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/productdesc/qlh_03_0001.html