< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台 EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
API与工具
解决方案
钉钉
会员服务
更多

    权限管理

    更新时间:2020-05-14 11:16:24

    ★ 我的收藏
    本页目录

    在数据管理DMS中,您可以申请某个数据库、表或列的具体操作权限(查询、变更或导出),数据Owner审核通过后即可执行相应的操作。

    权限说明

    • 查询:对应授权对象的SQLConsole执行查询语句的权限。
    • 变更:对应授权对象的数据变更、库表同步工单的提交权限(非直接变更)。
    • 导出:对应授权对象的数据导出工单的提交权限(非直接导出)。

    各管控模式对应的权限粒度说明

    管控粒度 权限说明 管控模式
    自由操作 稳定变更 安全协同
    实例登录权限 用户在获取实例登录权限后,通过数据库账号密码访问数据库实例。 X
    性能查看权限 针对安全协同的数据库实例,用户拥有此授权才可以跳转查看数据库的性能相关服务。 X X
    库权限 分查询、导出、变更三种类型,有整个库内非敏感字段、非行级管控表的所有权限,包含后续新增表。
    • 查询:可以通过SQLConsole执行SQL查看数据。
    • 变更:对应数据变更、数据导入工单提交权限。
    • 导出:对应数据导出工单提单权限。
    		 X X
    表权限 分查询、导出、变更三种类型,有整个表内非敏感字段的所有权限。
    • 查询:可以通过SQLConsole执行SQL查看数据。
    • 变更:对应数据变更、数据导入工单提交权限。
    • 导出:对应数据导出工单提单权限。
    		 X X
    敏感列权限 分查询、导出、变更三种类型,有整个表内包含敏感字段的所有权限。必须在有库、表权限的情况下额外申请开通。
    • 查询:可以通过SQLConsole执行SQL查看数据。
    • 变更:对应数据变更、数据导入工单提交权限。
    • 导出:对应数据导出工单提单权限。
    		 X X
    数据行权限 分查询、导出、变更三种类型,可对表上管控字段的不同取值分别进行管控。也可申请管控字段所有取值的权限。
    • 查询:可以通过SQLConsole执行SQL查看数据。
    • 变更:对应数据变更、数据导入工单提交权限。
    • 导出:对应数据导出工单提单权限。
    		 X X
    可编程对象 分查询、导出、变更三种类型。
    • 查询:可以通过SQLConsole执行SQL查看数据。
    • 变更:对应数据变更、数据导入工单提交权限。
    • 导出:对应数据导出工单提单权限。
    		 X X

    申请权限

    1. 登录数据管理DMS控制台

    2. 在顶部导航栏,选择权限 > 申请权限,然后选择对应的权限类别。

      您也可以在顶部的搜索栏中,输入待申请权限的数据库名或表名,然后在搜索结果中,找到对应的库或表,单击操作列的权限申请

    3. 配置待申请的权限信息。 配置待申请的权限

      • 申请的权限类别:选择具体的权限类别。

      • 选择要申请权限的库/表/列:输入关键字并选择检索条件搜索库名或表名(支持通配符%),然后勾选需要授权的对象,单击添加

        • 默认的库权限包含数据库内所有表的非敏感、非机密字段的访问权限,包含后续新增的表。
        • 默认的表权限只拥有目标表非敏感、非机密字段的访问权限。目标表的结构发生变更不会影响授权。
        • 在拥有库、表权限的基础上,对有权限的某个表的敏感、机密字段需要访问时提交对应申请。

      • 选择权限:选择权限类型与期限,然后填入申请原因。

    4. 单击提交申请,等待审批通过。(审批取决于安全规则中定义的权限审批流程,详情请参见设置审批流程。)

      您可以在工作台的首页,查看权限申请工单的审核进度。

    管理权限

    主动管理

    • 释放权限

      登录数据管理DMS控制台,在工作台首页的右侧,单击有效的权限,选择对应的权限信息,然后单击释放权限

      您可以选择释放所有或部分权限,例如仅释放变更权限。

    • 续期

      登录数据管理DMS控制台,在工作台首页的右侧,单击即将到期的权限,浏览并评估即将到期的权限。如果某个权限需要继续使用,请执行申请权限的操作。

    被动管理

    数据Owner可以随时查看并评估权限分配的合理性,管理用户的权限。

    所有权限申请、权限释放、回收、授权等操作均会记录至操作日志中,您可以在顶部导航栏,选择系统管理 > 安全管理 > 操作日志进行查看。

    1. 登录数据管理DMS控制台

    2. 在工作台首页的Owner的库表,单击对应的逻辑库/物理库查看Owner库表

    3. 找到目标数据库,单击操作列的权限管理

      • 回收权限

        1. 找到目标用户,单击操作列的回收权限
        2. 选择要回收的权限,例如查询导出变更
        3. 单击确认

      • 授权

        1. 根据业务需求,单击授权库权限授权表权限

        2. 选择授权的库/表、用户、具体的权限与过期时间。

          过期时间可精确至天。

        3. 单击确认

    相关文档

    数据管理DMS支持对不同库、表的审批开通流程可以差异化定制,例如:

    • 对核心业务库表或生产数据执行严格的流程审批。
    • 对边缘业务或测试环境的数据执行轻量化的流程审批甚至无流程审批。

    详情请参见自定义审批流程

    上一篇:功能总览
    下一篇:SQLConsole/数据查询
    相关文档
    相关产品
    • 数据管理 DMS
      数据管理(Data Management)支持MySQL、SQL Server、PostgreSQL、PPAS、Petadata等关系型数据库,DRDS等OLTP数据库,ADS、DLA等OLAP数据库和MongoDB、Redis等NoSQL的数据库管理,同时还支持Linux服务器管理。它是一种集数据管理、结构管理、用户授权、安全审计、数据趋势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。用户使用数据管理服务实现易用的数据库和服务器统一管理入口,让数据更安全、管理更高效、数据价值更清晰。
    • 云数据库 RDS
      阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQL Server、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和MariaDB引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。
    • 数据传输服务 DTS
      数据传输(Data Transmission)是阿里云提供的一种支持RDBMS(关系型数据库)、NoSQL、OLAP等多种数据源之间数据交互的数据服务。它提供了数据迁移、实时数据订阅及数据实时同步等多种数据传输能力。通过数据传输可实现不停服数据迁移、数据异地灾备、跨境数据同步、缓存更新策略等多种业务应用场景,助您构建安全、可扩展、高可用的数据架构。