数据管理DMS提供了全方位细粒度的数据安全管理功能,支持对实例、数据库、表、数据列、数据行、元数据等进行访问控制权限管理。本文对DMS提供的访问控制权限进行介绍。
权限类别说明
权限分类 | 权限类别 | 权限说明 | 实例是否开启安全托管 |
操作权限(普通权限) | 实例权限 | 登录实例权限 用户在获取实例的登录权限后,可以通过数据库账号和密码访问数据库实例。 说明 数据库的账号和密码由您公司的相关负责人管理和提供。 | 未开启安全托管 |
查看实例性能权限 对于开启安全托管的实例,查看数据库性能需要获得性能查看权限。更多信息,请参见数据库性能。 | 已开启安全托管 | ||
拥有整个实例的查询、导出、变更权限(不包含敏感字段和行级管控数据)。 | |||
库权限 | 拥有整个数据库的查询、导出、变更权限(不包含敏感字段和行级管控数据)。 | ||
表权限 | 拥有整个表的查询、导出、变更权限(不包含敏感字段和行级管控数据)。 | ||
敏感列权限 | 拥有敏感字段的查询、导出、变更权限。 | ||
行权限 | 拥有行级管控数据的查询、导出、变更权限。更多信息,请参见行级管控。 说明 申请开通行权限的前提条件:拥有库、表权限。 | ||
可编程对象权限 | 对于已开启安全托管的实例,获得可编程对象权限才可以查询、导出、变更数据库的可编程对象。更多信息,请参见可编程对象。 | ||
数据权限(资源Owner) | 实例Owner | Owner可查看对应资源的人员授予情况,授予、回收对应资源的权限,可查询对应资源中的数据(不包含敏感字段和行级管控数据)。 说明 未开启安全托管的实例添加或删除实例Owner,只能由管理员、DBA在首页左侧实例列表中右键单击目标实例,选择进行管理。 | 已开启安全托管 |
库Owner | |||
表Owner | |||
元数据访问控制 | 元数据访问控制 |
说明 如果您拥有数据权限、操作权限中的任意一种权限,即被视为已授权该实例或数据库。 | 已开启安全托管 |
权限说明如下:
查询指在SQL窗口执行查询语句的权限。
变更指拥有在SQL窗口执行变更语句的权限(SQL窗口执行变更语句还受管理员配置的安全规则约束);拥有提交数据变更、库表同步工单的权限(非直接变更)。
导出指拥有提交数据导出工单的权限(非直接导出)。
不同用户角色进行权限管理的方法
普通用户:
DMS中的普通用户(除开启了用户访问控制的用户)可以通过工单申请某个资源的操作权限、数据权限。具体操作,请参见通过工单申请资产权限。
管理员、DBA:
通过实例管理功能,管理实例、数据库的权限。具体操作,请参见管理员、DBA管理资源权限。
开启实例、数据库访问控制。具体操作,请参见设置访问控制。
管理员:
通过用户管理功能,授予、回收目标用户某个资源的实例、库、表、行、敏感列权限。具体操作,请参见管理员管理其他用户的权限。
开启用户访问控制。具体操作,请参见开启用户访问控制。
查看用户角色,请参见查看我的系统角色。
除元数据访问控制外的权限变更操作(申请、授权、释放、回收)均会记录至操作日志中,您可以在的操作日志页签下,查看权限变更记录。
通过工单申请资产权限
数据管理DMS中的用户(除被开启访问控制的用户)都可以通过提交工单的方式申请权限。
- 登录数据管理DMS 5.0。
在顶部菜单栏中,选择。
说明若您使用的是极简模式的控制台,请单击控制台左上角的
图标,选择。在权限申请工单列表页面,单击权限申请,在下拉菜单中选择需申请的权限类别。
在权限申请工单页面,配置需要申请的实例、数据库、表或其他资源的权限。
选择需要申请的资源。
类别
支持的权限类别
说明
未开启安全托管
实例-登录
未开启安全托管的实例,只能申请登录实例的权限。
输入实例地址、名称,单击搜索或按回车进行搜索。
在搜索结果列表中,选择目标实例。
单击
,将选中的实例添加到确认已选择的实例列表中。
已开启安全托管
实例Owner
库OWNER
表OWNER
实例权限
实例性能
库权限
表权限
可编程对象
行权限
敏感列权限
以申请数据库权限举例。
输入数据库库名,单击搜索或按回车键进行搜索。支持
%模糊匹配搜索,例如:dms%test。在搜索结果列表中,选中要添加权限的目标。
单击
,将选中的目标添加到确认已选择的库/表/列列表中。
选择权限。
选择需要申请的权限类型(登录、查询、导出和变更)、设置权限的期限,再填入申请原因以及背景。
配置完成后,单击提交申请,系统将进入审批流程。
审批工单。待审批通过后,系统自动为您分配申请的权限。
对于安全协同实例,可以自定义审批流程。
对于非安全协同实例,且未开启非安全托管,则只能申请实例登录权限,审批人默认为实例DBA;若实例开启安全托管,审批人为对应资源Owner,如果没有设置Owner,则审批人为实例DBA。