安全托管

安全托管和安全协同存在哪些功能差异?

核心功能

安全托管

安全协同

免密登录实例

✔️

✔️

细粒度、全生命周期的权限管理

✔️

✔️

表结构设计

✔️

安全规则

(精细化的操作规范和研发流程管控)

✔️

自定义工单审批流程

✔️

SQL审核优化建议

支持提醒SQL中存在待优化或改进点。

根据安全规则中的审核优化建议,对提交的SQL语句进行规范化审核并提出优化建议。若有必须改进的行为,则DMS强制拦截继续执行。

操作审计

可查看1天的数据库操作日志。

可查看3年内的数据库操作日志。

实例开启安全托管前后有什么不同?

  • 开启托管前:所有登录实例的用户都需要知道数据库账号和密码;如果需要进行权限管控,需要为不同的数据库账号分配和管理不同权限。

  • 开启托管后:用户无需接触数据库账号和密码也可以登录实例;可实现实例、库、表和行等粒度的权限管控。

更多信息,请参见安全托管

如果不需要细粒度的权限管控,只想使用安全托管的免登录能力,该如何操作?

系统角色为管理员、DBA和实例Owner的用户,无需额外申请权限即可使用免登录实例能力。对于其他角色的用户,可以主动申请或由管理员、DBA和实例Owner授予实例权限。具体操作,请参见通过工单申请权限管理员、DBA给普通用户授权

实例开启安全托管后,还需要给用户授予实例的登录权限吗?

管理员、DBA和实例Owner可直接使用实例;普通用户需要根据使用场景申请资源的查询、导出和变更权限。

开启安全托管的实例,可申请哪些权限?

可申请查询、导出和变更权限。

  • 查询权限:指在SQL窗口执行查询语句的权限。

  • 导出权限:指提交数据导出工单的权限(非直接导出)。

  • 变更权限:指在SQL窗口执行变更语句的权限(SQL窗口执行变更语句受管理员配置约束);拥有提交数据变更、库表同步工单的权限(非直接变更)。

提交工单申请权限时,权限的审批人是谁?

对于非安全协同实例,审批人固定为资源Owner(如果没有Owner,则为实例DBA);对于安全协同实例,您可以在提交工单前在安全规则中指定审批人。具体操作,请参见自定义工单审批流程

如何查看权限操作记录?

DMS的操作日志可记录申请权限、授权、回收权限等操作,管理员和DBA可使用操作日志功能查询权限的操作记录。具体操作,请参见操作审计

是否可以设置权限有效期?

可以,设置权限有效期后,权限到期将自动回收。管理员、DBA或实例Owner也可以主动回收其他用户的资源权限。

如何通过敏感列权限对敏感数据进行管控?

如果实例开启了敏感数据保护,可以结合安全托管的敏感列权限对字段进行管控,系统将自动对敏感数据进行分类分级,且只允许有对应权限的用户查看敏感字段。更多信息,请参见敏感数据保护概览

域账号可以实现细粒度权限管控吗?

可以,首先将域账号接入DMS,再实现细粒度权限管控。更多信息,请参见使用域账号登录DMS管理访问控制权限

安全托管功能收费吗?

安全托管功能可免费使用。