管理访问控制权限

数据管理DMS提供了全方位细粒度的数据安全管理功能,您可以对实例、数据库、表、行、敏感列等进行权限管理。本文介绍不同的用户角色进行权限管理的方法。

注意事项

  • 未开启安全托管的实例,仅支持申请或授予登录实例权限。

  • 已开启安全托管的实例,支持对实例、数据库、表、行、敏感列等全方位、细粒度的权限管控。开启安全托管的操作,请参见安全托管

不同系统角色进行权限管理的方法

系统角色

权限管理的方法

普通用户

DMS中的普通用户(除开启了用户访问控制的用户)可以通过权限工单申请某个资源的权限。具体操作,请参见通过工单申请资产权限

DBA、管理员

说明

DBA仅可通过实例管理功能进行权限管理。管理员可通过上述四种方法进行权限管理。

结构只读

不需要拥有实例、库、表的查询、变更或导出权限,即可查看所有实例、库、表的元数据。

说明
  • 您可单击控制台首页右上角的person,查看您的系统角色。

  • 除元数据访问控制外的权限变更操作(申请、授权、释放、回收)都会记录至操作日志中,您可以在安全与规范 > 操作审计操作日志页签下,查看权限变更记录。

通过工单申请资产权限

数据管理DMS中的用户(除被开启访问控制的用户)都可以通过提交工单的方式申请权限。

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 权限中心 > 权限工单

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 权限中心 > 权限工单

  3. 权限申请工单列表页面,单击权限申请,在下拉菜单中选择需申请的权限类别。

  4. 权限申请工单页面,配置需要申请的实例、数据库、表或其他资源的权限。

    1. 选择需要申请的资源。

      类别

      支持的权限类别

      说明

      未开启安全托管

      实例-登录

      未开启安全托管的实例,只能申请登录实例的权限。

      1. 输入实例地址、名称,单击搜索或按回车进行搜索。

      2. 在搜索结果列表中,选择目标实例。

      3. 单击5添加2,将选中的实例添加到确认已选择的实例列表中。

      已开启安全托管

      • 实例Owner

      • 库OWNER

      • 表OWNER

      • 实例权限

      • 实例性能

      • 库权限

      • 表权限

      • 可编程对象

      • 行权限

      • 敏感列权限

      以申请数据库权限举例。

      1. 输入数据库库名,单击搜索或按回车键进行搜索。支持%模糊匹配搜索,例如:dms%test

      2. 在搜索结果列表中,选中要添加权限的目标。

      3. 单击5添加2,将选中的目标添加到确认已选择的库/表/列列表中。

    2. 选择权限。

      选择需要申请的权限类型(登录、查询、导出和变更)、设置权限的期限,再填入申请原因以及背景。

  5. 配置完成后,单击提交申请,系统将进入审批流程。

  6. 审批工单。待审批通过后,系统自动为您分配申请的权限。

    • 对于安全协同实例,可以自定义审批流程。

    • 对于非安全协同实例,且未开启非安全托管,则只能申请实例登录权限,审批人默认为实例DBA;若实例开启安全托管,审批人为对应资源Owner,如果没有设置Owner,则审批人为实例DBA。

查看已有的资产权限

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 权限中心 > 我的权限

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 权限中心 > 我的权限

  3. 查看普通权限。

    普通权限页签下,选择目标权限类型,查看您拥有的资源权限。

  4. 查看我Owner的资源。

    Owner资源页签下,选择Owner的实例、库或表,查看您拥有的权限。

    说明
    • 实例权限中包含实例登录、性能查看、查询、导出和变更权限。

    • 暂不支持查询和释放可编程对象权限。

释放已有的资源权限

释放权限后,您将不具有某个实例、库、表、敏感列或行的查询、导出或变更权限。

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 权限中心 > 我的权限

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 权限中心 > 我的权限

  3. 释放普通权限。

    在普通权限列表中,选中需要释放权限的资源,单击释放权限

  4. 释放Owner资源。

    在具有Owner的资源列表中,选中需要释放的资源,单击释放Owner

管理员、DBA管理资源权限

通过实例管理功能管理资源权限

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 数据资产 > 实例管理

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择数据资产 > 实例管理

  3. 管理实例权限。

    1. 单击实例列表页签,在目标实例的操作列中,选择更多 > 管理权限

    2. 在目标用户行的操作列下,查看、回收用户的权限或授予某个用户实例登录权限或性能查看权限。

      • 非安全托管的实例仅可授予用户实例登录的权限。

      • 安全托管的实例可以授权用户性能查看查询导出变更权限。

  4. 管理数据库、表权限。

    已开启安全托管的实例,管理员、DBA可以为某个用户添加库表权限。未开启安全托管不支持库表粒度的权限管理。

    1. 单击数据库列表页签,在目标数据库的操作列中,选择更多 > 权限管理

    2. 选择目标权限分类,在目标用户行的操作列中,查看、回收用户的权限。同时,也可单击授权库权限授权表权限,为某个用户添加库、表权限。

通过权限模板功能管理资源权限

具体操作,请参见创建权限模板

管理员管理其他用户的权限

管理员可以通过用户管理功能为某个用户添加权限或回收用户的权限。可添加、回收的权限类型包括实例权限、库权限、表权限、行权限和敏感列权限。

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 运维管理 > 用户管理

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择运维管理 > 用户管理

  3. 授予用户权限。

    1. 在目标用户的操作列中,单击授权,在下拉菜单中选择对应的权限类别。

    2. 在弹出的授权对话框中,配置授权信息,并单击确认

  4. 回收用户权限。

    1. 在目标用户的操作列中,单击更多 > 权限详情

    2. 用户权限列表对话框的普通权限页签下,选择目标权限类别。

    3. 选中目标实例,单击释放权限

    4. 权限操作对话框中,选择您要回收、释放的权限类型,单击确认

常见问题

Q:通过访问控制授予RAM用户(子账号)在DMS中登录RDS实例的权限后,RAM用户在DMS登录实例时,还是提示无登录实例的权限,该如何处理?

A:需要保证阿里云账号(主账号)已将该RDS实例录入至DMS,此时,RAM用户再进行登录RDS实例操作。录入实例的具体方法,请参见云数据库录入