全部产品
云市场

权限管理

更新时间:2018-10-26 20:26:04

需求背景

  • 需要对某个数据库、表、敏感列、机密列进行相关操作需要对应的权限申请,以便在平台内顺利进行查询、变更、导出等相关操作。

申请

  • 步骤1:找到目标数据库、表

    • 方法1:左侧工单区域点击【权限申请】,进入对应类型的申请页面后搜索关键词

    • 方法2:通过顶栏搜索框,直接关键词搜索目标数据库、表到达搜索结果页面的【申请权限】-精确申请

  • 步骤2:按照需要申请目标库表、对应权限、选择有效期进行提交等待审批通过后使用

  • 2.1检索目标数据源信息,双击选中到右侧待提交列表中

检索条件 说明
数据库信息 可填写在产品内显示的数据库名字,包含库名、ip、port等信息进行检索
环境类型 不限、生产、测试,三种可选
库类型 不限、单库、逻辑库,三种可选
数据库类型 可下拉选择产品内支持的各数据库类型
不限 不限、RDS各区域
  • 2.2选择所需的数据源权限
权限类型 描述
查询 对应SQLConsole执行查询语句的权限
导出 对应数据导出工单的提交权限(非直接导出)
变更 对应数据变更、库表同步工单的提交权限(非直接变更)
  • 2.3选择所需要的有效期

    • 到期后将自动回收权限,按需申请及时释放或续期(最细到天级别)
  • 2.4申请原因

    • 描述本次需求的原因,以便审核人员评估是否可以授权以及避免后续沟通而快速响应
  • 2.5提交申请

    • 确定数据源、权限类型、有效期、原因后即可提交申请等待审核通过,对应权限即自动开通。
  • 步骤3:提交成功的工单可以通过工作台-首页-工单信息 或者 左侧权限申请两个入口,进行查看

    • 申请权限工单提交后请关注工单状态,如果需要审批及时找审批节点人员进行处理。审批通过后开通权限方可进行后续操作
  • 注:审批流程可按需实例级别自定义,审批节点数、审批节点的人员等均可灵活配置

    权限申请-安全规则

注意:检索只支持库名、表名,不支持直接搜索实例名

tips

  • 权限分类
    • 权限对象分类:库、表、列
      • 支持前后 % 关键字模糊检索
      • 默认申请库权限即有数据库内所有表的非敏感、非机密字段的访问权限,包含后续新增表
      • 默认申请表权限只拥有目标表非敏感、非机密字段的访问权限,不含后续新增表(表结构变更不影响)
      • 在拥有库、表权限的基础上,对有权限的某个表的敏感、机密字段需要访问时提交对应申请
    • 权限操作分类:查询、导出、变更
      • 后两者为数据导出、数据变更工单提交的准入大门,若无目标对象的导出、变更权限则无法选择目标数据库进行数据导出、数据变更工单的提交
    • 权限有效期
      • 按需申请对应有效期,到期后权限将自动回收并失效(首页对7天内即将到期的权限会有提醒,可快速续权)

开通

  • 与传统的一刀切审批流程方案不同,企业版里不同库、表的审批开通流程可以差异化定制(具体由管理员、DBA在【系统管理】-【安全规则】进行配置后关联到具体实例上)
    • 核心业务库表或生产数据可以走严格流程审批
    • 边缘业务或测试环境数据可以走轻流程审批甚至无流程审批

使用

  • 开通“查询”权限
    • 可以通过【SQLConsole】进行数据查询、查看表结构信息
    • 可用于【SQL审核/SQLReview】工单的数据库
    • 可用于【库表同步】工单的源数据库
  • 开通“变更”权限
    • 可用于【数据变更/数据订正】工单的数据库
    • 可用于【库表同步】工单的目标数据库
    • 对应工单按照【安全规则】走指定流程审批后方可执行,非直接无限制无流程的变更
  • 开通“导出”权限
    • 可用于【数据导出】工单的数据库
    • 工单按照【安全规则】走指定流程审批后方可执行,非直接无限制无流程的导出

管理

主动管理

  • 释放
    • 对于申请后不需要的权限可以主动释放,入口:工作台-首页-我的权限-有效权限,找到目标库表后进行主动释放(支持细粒度释放部分权限,也可释放全部权限)
  • 续期
    • 对“即将到期”的权限,可以评估是否需要继续使用;若需要继续使用也可以一键续权,入口:工作台-首页-我的权限-即将到期

被动管理

  • 回收
    • 数据owner可以随时查看所owner的资源已开通权限用户的合理性,对不合理授权或者误授权可以进行回收;入口:工作台-首页-我owner-权限管理-回收权限
      • 可回收某个用户所有权限或某个权限,如查询、变更只回收变更
      • 可回收部分用户所有权限或某个权限
      • 可回收全部用户所有权限或某个权限
  • 授权

    • 数据owner可以随时查看所owner的资源已开通权限用户的合理性,对不合理授权或者误授权可以进行回收;入口:工作台-首页-我owner-权限管理-授权用户库权限、授权用户表权限
      • 可给某个用户授权部分或者全部库权限、某个表或者某部分表权限
      • 可批量给部分用户授权部分或者全部库权限、某个表或者某部分表权限
    • 与申请权限的有效期不一样的点是,此处可以更细、更灵活授权到天级别有效期:指定日期当天0点前有效,0点后失效回收
  • 操作日志

    • 所有权限申请、权限释放、回收、授权等均记录入操作日志中,管理员随时可以翻阅