【OSS安全最佳实践】对OSS内身份证图片中身份证号进行脱敏

为确保存储在私有OSS Bucket特定文件夹中包含中国内地身份证信息的PNG、JPG、JPEG、BMP或WEBP格式图片，在与其他用户共享时身份证信息不被泄露，可使用数据安全中心 DSC（Data Security Center）的图片脱敏功能。DSC目前仅支持对身份证号进行遮盖处理。脱敏后的图片会自动保存到同一个OSS Bucket下与DSC脱敏任务关联的aliyun_dsc_desensitization文件夹内。通过设置aliyun_dsc_desensitization文件夹的访问权限，实现敏感图片的安全共享。

方案概览

图片脱敏样式：

脱敏前示例	脱敏后示例

图片脱敏的工作流程：

 

要实现以上图片脱敏和共享，需要五步：

1. 创建OSS Bucket并上传文件：创建私有读写权限的OSS Bucket，并上传包含中国内地身份证信息的图片到OSS Bucket的一个文件夹（例如imgtest）下，该文件夹内图片继承Bucket的私有权限。

2. 同步OSS Bucket到DSC：将OSS Bucket同步到DSC，无需授权连接，即可创建OSS图片脱敏任务。

   DSC会每天凌晨自动同步新增资产，对于当天创建的资产，需要手动执行资产同步操作。

3. 新增脱敏任务：创建图片脱敏任务，配置待脱敏图片的OSS Bucket文件路径。

4. 启动脱敏任务：启动任务，对OSS Bucket中图片进行识别和脱敏，将脱敏后的图片保存到aliyun_dsc_desensitization文件夹中。

5. 配置RAM用户访问脱敏图片：通过Bucket Policy授予指定RAM用户只读访问aliyun_dsc_desensitization/imgtest文件夹的权限，实现脱敏后的图片共享。

前提条件

• 当前账号已购买数据安全中心实例并授权数据安全中心访问其他阿里云资源。

  OSS图片脱敏是数据安全中心的增值服务，实现图片脱敏需要足够的图片脱敏数和增强图片识别数量。本示例场景购买数据安全中心服务，需要开启图片脱敏和增强图片识别，购买业务需要的图片脱敏数和增强图片识别数量，其他服务可自行选择是否购买。

• 当前账号已开通对象存储OSS。

• 已准备需要被授权的RAM用户。RAM用户相关内容，请参见创建RAM用户。

  本示例RAM用户通过控制台访问已授权的OSS图片，RAM用户的访问方式需要选中控制台访问。

步骤一：创建OSS Bucket并上传图片

1.1 创建OSS Bucket

1. 在对象存储OSS控制台的Bucket列表页面，单击创建Bucket。

2. 在创建 Bucket面板，配置如下参数，其他参数采用默认配置，然后单击完成创建。

   

1.2 上传图片到OSS Bucket的一个文件夹中

1. 在对象存储OSS控制台的Bucket列表页面的Bucket列表，单击OSS Bucket名称。

2. 在文件列表页面，单击新建目录，输入目录名（例如：imgtest），单击确定。

3. 进入imgtest文件目录下，单击上传文件。

4. 单击扫描文件，选择本地的文件（本文上传示例图片身份证.png）后，单击上传文件，等待文件上传成功。

   

步骤二：同步OSS Bucket到DSC

1. 在授权管理页签，单击资产授权管理。

2. 在资产授权管理面板左侧产品名称导航栏，单击OSS。

3. 在资产授权管理面板，单击资产同步。

   

步骤三：新增脱敏任务

1. 在数据安全中心的OSS图片脱敏页面，单击创建脱敏任务。

2. 在创建脱敏任务面板，完成图片脱敏配置。

   Bucket选择为目标OSS Bucket，脱敏范围配置为存储身份证图片的文件夹imgtest，启动时间为立即执行，配置脱敏图片为包含身份证信息的图片（中国内地），脱敏方式为遮盖。

   

步骤四：启动脱敏任务

4.1 执行任务

1. 在OSS图片脱敏页面，新建的脱敏任务会自动立即执行。

   

2. 单击操作列的详情，等待状态显示为已完成，查看已成功脱敏的图片信息。

   

4.2 校验脱敏结果

1. 前往对象存储OSS控制台的Bucket列表页面，单击目标Bucket名称。

2. 通过文件夹aliyun_dsc_desensitization/imgtest，查看已脱敏图片，可以看到身份证号已脱敏成功。

   

步骤五：配置特定RAM用户访问已脱敏图片

5.1 待被授权的RAM用户查看自己的账号ID

1. RAM用户登录阿里云控制台，鼠标指针移动到右上角的头像上，复制并保存账号ID（UID）。

   

2. RAM用户将保存的UID发送给当前账号的用户。

5.2 当前账号的用户配置Bucket Policy授予RAM用户读取图片的权限

1. 当前账号所属用户在OSS Bucket的Bucket授权策略页面，单击按语法策略添加。

2. 编辑并保存以下策略内容，授予指定RAM用户（UID为20214760404935xxxx）对目标OSS Bucket（examplebucket）下指定目录（前缀为aliyun_dsc_desensitization/imgtest）的只读权限。

   {"Version": "1","Statement": [{"Effect": "Allow","Action": ["oss:GetBucketInfo"],"Principal": ["20214760404935xxxx"],"Resource": ["acs:oss:*:192479427903xxxx:examplebucket"]}, {"Effect": "Allow","Action": ["oss:Get*"],"Principal": ["20214760404935xxxx"],"Resource": ["acs:oss:*:192479427903xxxx:examplebucket/aliyun_dsc_desensitization/imgtest/*"]}, {"Effect": "Allow","Action": ["oss:ListObjects","oss:ListObjectVersions"],"Principal": ["20214760404935xxxx"],"Resource": ["acs:oss:*:192479427903xxxx:examplebucket"],"Condition": {"StringLike": {"oss:Prefix": ["aliyun_dsc_desensitization/imgtest/*"]}}}]
   }

5.2 已被授权的RAM用户验证访问已授权的图片

RAM用户在对象存储OSS控制台，通过已授权图片的OSS访问地址https://oss.console.aliyun.com/bucket/oss-cn-hangzhou/examplebucket/object?path=aliyun_dsc_desensitization%2Fimgtest%2F访问已脱敏的图片信息。

总结

对于存储在OSS Bucket中包含中国内地身份证信息的图片，可以脱敏身份证号信息后进行共享，以免因个人身份证号泄露，造成财产损失、信誉损失、身份被冒用等影响。

定时脱敏任务

OSS图片脱敏任务支持按照每天、每月某天或每周某天的凌晨的00:00:00定时触发，对增量图片进行识别和脱敏，以保障更新的图片能及时被脱敏使用。