本文介绍整个安全规则管理模块包括的安全规则、审批流程线、审批节点三个核心概念。
审批节点
- 系统节点
系统初始化的动态节点不可编辑与删除,节点名称如下所示:
- Admin:系统管理员,若系统中有多个管理员,任意一个完成审批操作,则审批通过。
- DBA:实例对应的DBA,在管理员或DBA录入实例时,DBA默认是当前录入者,也可以指定给系统里的其他DBA角色。审批流程仅需要操作的资源对应的DBA完成审批操作,则审批通过。
- DBA Roles:由系统中的DBA角色完成审批,包含资源对应的DBA。
- Owner:数据库的数据Owner,在DBA录入实例采集完数据字典时,由DBA配置,也可以由管理员设置为某个人员为Owner或申请成为某个库表的数据Owner。
- 新增节点
说明 用户手动新增的节点,可以按需编辑与删除。
在系统默认已有的节点基础上,用户可以新增自定义审批节点、设置节点的审批人。
审批模板
用户可以在审批模板中自定义设置审批流程节点。
- 系统模板
系统初始化的审批模板不可编辑与删除,模板名称如下所示:
- Admin:仅需管理员审批。
- DBA:仅需DBA审批。
- Owner:仅需数据Owner审批。
- Owner->DBA:按照数据Owner、DBA的角色顺序进行审批。
- Owner->DBA->Admin:按照数据Owner、DBA、Admin的角色顺序进行审批。
- 新增流程线
说明 用户手动新增的审批模板,可以按需编辑与删除。
借助系统的动态审批节点、手动添加的审批节点组合出特定的审批流程线。
安全规则
系统默认初始化低风险、中风险、高风险三个等级的安全规则,系统默认的规则不可删除,但可以编辑。如下列举系统默认初始化的安全规则所支持具体模块能力。
说明 新增的安全规则可以进行编辑与删除操作。新增的安全规则可以通过设置审批流程线,实现业务维度的灵活管控与操作审计。一个实例关联一个安全规则,测试环境可以严格管控、后台系统的生产环境也可以松散管控,真正实现按需管理的灵活支持。
SQL窗口
- 是否允许DML(可设置行数阈值,超过阈值不允许执行)
- 是否允许DDL(可设置表大小阈值,超过阈值不允许执行)
- 是否允许执行高风险DDL(删表、删字段)
- 是否允许执行其他SQL
数据变更
- 是否允许DML(可设置影响行数阈值,超过阈值不允许执行)
- 是否允许DDL(可设置表大小阈值,超过阈值不允许执行)
- 是否允许执行高风险DDL(删表、删字段)
- 是否允许执行其他SQL
以上规则若选择开启,则需要根据实际业务需求选择审批流程、及审批流程线。
数据导出
是否对数据导出工单设置审批控制
若启用,您可以设置或调整导出数据的阈值,也可以根据不同的阈值设置审批流程及审批流程线。
说明 当涉及包含或导出敏感数据时,您可设置忽略该行的安全规则审批流程或设置审批流程。
权限申请
- 库表列权限
可以设置某个审批流程线来控制审批流程。
- 库、表权限
- 敏感列权限
- 机密列权限
- 数据Owner
可以设置某个审批流程线来控制审批流程。
- 有数据Owner流程
- 无数据Owner流程
- 敏感等级
可以设置某个审批流程线来控制审批流程。
- 机密降为敏感
- 机密降为内部
- 敏感降为内部