安全托管

安全托管是数据管理DMS在阿里集团数据库权限访问控制最佳实践,为企业提供一系列数据库权限管控的集合,可帮助企业实现多云数据库统一权限管理。

背景信息

传统的管理数据库方案,需要先获得数据库账号与密码,登录数据库后才能进行其他操作。该方式存在数据库账号、密码泄露的风险,同时多数据库多账号管理较为复杂,用户资源权限管理也较为混乱。

image.png

为解决传统方案的问题,DMS推出安全托管。

image.png

视频介绍

开启安全托管前后对比

对比项

开启前

开启后

数据库账号、密码

账号、密码连接数据库,存在账密泄露风险。

员工不接触账密,不存在账密泄露风险。

实例登录状态

登录状态易失效。24小时断开数据库连接。

免登录,有权限可直接使用。

管理多账号多数据库

不易管理,需要账号与数据库配套管理。

使用阿里云账号或域账号认证访问数据库。

数据库权限管理

仅支持管理实例登录权限。

DMS统一进行权限管理,可以对实例、库、表、行、列级进行细粒度权限管控。

还支持管理资源权限的整个生命周期,设置权限到期时间,实现权限自动回收。

实例的登录权限

需要用户单独申请登录权限。

免登录,不涉及申请登录权限。普通用户可根据实际场景,申请资源的查询、导出和变更权限。

费用说明

安全托管功能可免费使用。

注意事项

  • 稳定变更和自由操作实例需要您手动开启安全托管。开启操作,请参见开启安全托管

    说明

    安全协同实例默认已开启安全托管。

  • 为保证您更好地使用DMS提供的功能、全面管控数据库,建议在DMS托管较高权限的数据库账号。

使用流程图

aa9e447d7323ea27e593b783ca1cfac8.png

查看实例是否已开启安全托管

在DMS控制台页面左侧的数据库实例区域找到目标实例,将鼠标悬浮至实例名称上方查看实例是否开启安全托管。

image.png

开启安全托管

关闭安全托管

管理员或DBA可通过编辑实例信息来关闭安全托管。

重要

关闭安全托管后,原有实例的权限配置会失效。

image

后续操作

在管理员或DBA给实例开启安全托管后,还可能需要进行如下操作:

  • 获取权限

    • 普通用户申请权限

      • 提交工单申请:在查询、导出或变更数据库时,DMS会检测该用户是否具有对应权限,如果具有对应权限,则可直接执行操作;如果没有对应权限,则需要通过工单申请权限。具体操作,请参见通过工单申请权限

    • 管理员、DBA或实例Owner手动给用户授权。具体操作,请参见管理访问控制权限

      说明

      若企业员工或者数据库数量较多,您可以使用权限模板对相同业务属性的实例、库、表进行统一管理,批量授权给用户。具体操作,请参见创建权限模板

  • 查看自己拥有的资源权限。具体操作,请参见查看我的权限

  • 管理员查看其他用户的资源权限、管理员或DBA查看实例和数据库权限的拥有者。具体操作,请参见管理员管理其他用户的权限

  • 管理员或DBA追溯权限变更操作细节。具体操作,请参见操作审计

常见问题

安全托管相关问题,请参见安全托管常见问题