数据管理DMS的安全托管功能可有效解决传统的数据库管理方案中存在的问题,包括数据库账号和密码存在泄露的风险、多数据库和账号的管理较为复杂,以及用户资源权限管理较为混乱等。实例开启安全托管后将进入免登录状态,同时受DMS细粒度的资源权限访问控制。用户可以在不接触数据库账号及密码的情况下,访问有权限的实例、数据库等资源。
背景信息
传统的数据库管理方案 | DMS安全托管方案 |
多数据库多账号不易管理、授权操作较为复杂。若权限回收不及时,极易导致数据泄露,此外,操作数据库的人员也难以追溯。 | 安全托管是数据管理DMS在阿里集团数据库权限访问控制的最佳实践,为企业提供一系列数据库权限管控,同时,可帮助企业实现多云数据库统一权限管理。 |
 |  |
视频介绍
开启安全托管前后对比
对比项 | 开启前 | 开启后 |
数据库账号、密码 | 使用数据库账号、密码连接数据库,存在账密泄露风险。 | 员工不接触账密,不存在账密泄露风险。 |
实例登录状态 | 登录状态易失效,24小时断开数据库连接。断开连接后,需要重新登录数据库。 | 免登录实例,有实例的查询、变更等权限可直接使用。 |
管理多账号多数据库 | 不易管理,需要账号与数据库配套管理。 | 使用阿里云账号或域账号认证访问数据库。 |
数据库权限管理 | 仅支持管理实例登录权限。 |
|
实例的登录权限 | 需要用户单独申请登录权限。 | 免登录,不涉及申请登录权限。普通用户可根据实际场景,申请资源的查询、导出和变更权限。 |
费用说明
安全托管功能可免费使用。
注意事项
稳定变更和自由操作实例需要您手动开启安全托管。开启操作,请参见开启安全托管。
说明安全协同实例默认已开启安全托管。
为保证您更好地使用DMS提供的功能、全面管控数据库,建议在DMS托管较高权限的数据库账号。
实例开启安全托管不影响数据库的正常连接和数据库本身。
使用流程图
开启安全托管
管理员或DBA登录数据管理DMS 5.0后可为实例开启安全托管。
实例未录入DMS
在管理员或DBA录入数据库实例时开启安全托管。录入实例的操作,请参见云数据库录入和他云/自建数据库录入。
实例已录入DMS
管理员或DBA可在DMS首页左侧区域的数据库实例列表中右键单击目标实例,选择编辑实例,再开启安全托管。具体操作,请参见编辑实例。
关闭安全托管
如果您需要将实例从免登录列表中移除,则可关闭安全托管。
管理员或DBA可在DMS首页左侧区域的数据库实例列表中右键单击目标实例,选择编辑实例,选择不托管。
关闭安全托管后,实例原有的权限配置会失效,且每次登录数据库都需要输入数据库账号及密码。
其他操作
查看实例是否开启安全托管
在DMS控制台页面左侧的数据库实例区域找到目标实例,将鼠标悬浮至实例名称上方查看实例是否开启安全托管。
管理员、DBA或实例Owner手动给用户授权。具体操作,请参见管理访问控制权限。
在数据库实例列表中右键单击目标实例或数据库,选择管理权限,并为用户授予实例、库或其他资源权限。
查看自己拥有的资源权限。具体操作,请参见查看我的权限。
管理员查看其他用户的资源权限、管理员或DBA查看实例和数据库权限的拥有者。具体操作,请参见管理员管理其他用户的权限
管理员或DBA追溯权限变更操作细节。具体操作,请参见操作审计。
常见问题
Q:开启安全托管后,如何从实例级别禁止无实例权限的用户看到实例相关信息?
A:操作步骤如下:
关闭RAM权限校验。
在中关闭是否开启RAM权限校验,不允许RAM用户使用已有的RAM权限在DMS对实例进行操作。
开启实例访问控制。
说明仅安全协同模式的实例支持开启访问控制。
在中找到目标实例,选择,开启访问控制开关。开启访问控制后,仅有权限的用户才能搜索到该实例。更多信息,请参见访问控制。
Q:开启安全托管后,如何从用户级别禁止用户看到没有权限的实例信息?
A:操作步骤如下:
关闭RAM权限校验。
在中关闭是否开启RAM权限校验,不允许RAM用户使用已有的RAM权限在DMS对实例进行操作。
开启用户访问控制。
在中找到目标用户,选择,开启访问控制开关。开启访问控制后,该用户只能搜索到有权限的实例或者数据库。更多信息,请参见访问控制。
安全托管相关问题,请参见安全托管常见问题。