当您需要给指定用户分配或回收实例、库、表等资源权限时,可参考本文档进行操作。
前提条件
注意事项
-
实例开启安全托管后才可以进行库、表、行、敏感列等细粒度权限管控。如果需要管理敏感列权限,实例还需要开启敏感数据保护功能。
-
管理员或DBA拥有授予、回收当前DMS租户下用户已有的资源权限。
-
由数据Owner管理的数据库、表,数据Owner可以授予、回收人员的库、表权限。
权限管理方式说明
|
用户角色 |
权限管理方式 |
管理的资源类型 |
|
管理员 |
实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。 |
|
|
实例权限、库权限、表权限。 |
||
|
DBA |
实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。 |
|
|
实例权限、库权限、表权限。 |
||
|
资源Owner |
实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。 |
|
|
当前租户下的所有用户(不限制角色) |
实例权限、库权限、表权限、可编程对象、敏感列权限、行权限、资源Owner。 |
资源Owner包含:实例Owner、库Owner和表Owner。
通过实例管理功能管理资源权限
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
在实例列表页签下,搜索并找到目标实例,再单击。
-
在实例权限页签下,授予、回收实例权限。
-
授予实例权限
单击授权实例权限,选择授予指定用户实例的性能查询、查询、导出或变更权限,单击确认。
在权限设置区域的仅安全托管下勾选所需权限,并设置过期时间(如1个月)。
-
回收实例权限
-
单个回收:单击目标用户右侧的回收权限,选择需要回收的权限,单击确认。
-
批量回收:选中需要回收权限的用户,单击回收权限,选择需要回收的权限,单击确认。
-
-
授权延期
当用户拥有的实例权限即将过期,可以选中目标用户,再单击授权延期,延长权限的使用时间。
-
-
在库权限页签下,授予、回收数据库权限。
-
授予数据库权限
单击授权库权限,选择授予用户指定数据库的查询、导出或变更权限,单击确认。
在过期时间下拉框中选择权限有效期(如1个月)。
-
回收数据库权限
-
单个回收:单击目标用户行操作列下的回收权限,选择需要回收的权限,再单击确认。
-
批量回收:选中需要回收权限的用户,单击回收权限,选择需要回收的权限,再单击确认。
在管理权限弹窗的库权限页签中,通过勾选权限列表中目标数据库(如 dmsdb)对应行的复选框来选中需要回收的记录。
-
-
授权延期
当用户拥有的实例权限即将过期,可以选中目标用户,再单击授权延期,延长权限的使用时间。
-
-
在数据库列表页签下,可以批量设置Owner、转交Owner、授权和回收库、表、列、行权限。
说明您也可以单击目标数据库右侧的,进行资源权限管理。
通过用户管理功能管理资源权限
授予或回收资源权限
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
授予用户权限。
说明实例需要开启安全托管,管理员才可以给用户授予库、表、行和敏感列权限。
选中目标用户,单击页面上方的授权用户,或单击目标用户行右侧的授权,授予用户实例、数据库、表、行、敏感列权限,或通过添加用户至权限模板为用户授权。
说明您也可以单击目标数据库右侧的授权,进行资源权限管理。
-
回收用户权限。
-
单击目标用户行右侧的。
-
选择目标资源,选中需要释放的资源,再单击释放权限。
-
选中需要释放的导出、变更权限类型,单击确认即可。
-
-
权限续期。
如果在权限到期后,您还需要使用该资源,可以申请延长资源使用期限。
查看用户已有的权限
管理员可以查看指定用户已有的实例、库、表、行、敏感列权限,以及Owner资源。
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
单击目标用户行右侧的。
-
在普通权限页签下,查看该用户已有的资源权限。
权限分类包括实例权限、库权限、表权限、行权限和敏感列权限,表格展示各权限的权限类型、开通时间、过期时间、当前状态及操作(可单击权限详情查看)。
-
在Owner资源页签下,查看该用户为哪些资源的Owner。
页面支持按 Owner的实例、Owner的库、Owner的表 筛选资源类型,表格展示 Schema、区域、数据Owner 等信息,操作列提供 权限管理、调整数据Owner 等入口。
通过权限模板功能管理资源权限
授予或收回用户权限
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
单击已有权限模板名称或创建新权限模板,进入模板详情页。创建操作,请参见创建权限模板。
-
添加资源。
-
单击添加资源,在该模板内添加实例、库及表资源。
-
在搜索框中输入目标实例名称,按下Enter,再选中目标资源及权限类型。
说明在确认添加资源之前,您可以在不同页签下,同时添加实例、库和表。
安全托管下可选的权限类型包括性能查看、查询、导出、变更;非安全托管下仅有实例-登录权限可选。选择完成后单击确认。
-
单击确认。
-
-
添加用户。
-
单击模板详情页面的授权。
-
单击搜索框,选择需要授权的用户,并设置权限有效期。
在授权对话框中,注意此次授权为追加操作,同一权限类型下新授权的权限会覆盖已有权限的过期时间。还可单击从已授权用户列表加载快速添加用户。
-
单击确认。
-
查看已授权用户及回收用户权限
-
在模板详情页面,单击授权记录。
页面显示 授权日志 和 已授权人员 两个子页签。授权日志 页签下的表格包含授权人员、到期时间、授权人、回收/授权、授权时间等列,记录各条授权或回收操作的详细信息。
-
在已授权人员页签下,进行查看已获得该模板授权的用户、一键回收用户权限的操作。
说明回收权限范围为:该用户最后一次被授权的模板内的所有资源的权限。
已授权人员列表包含被授权人员、最后操作时间、最后操作人、回收状态等列。回收状态分为已回收和未回收,未回收的用户可执行权限详情和一键回收操作,已回收的用户仅可查看权限详情。支持通过批量回收按钮同时回收多个用户的权限。
通过权限工单申请资源权限
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
在权限申请工单列表页面,单击权限申请,在下拉菜单中选择需申请的权限类别。
-
在权限申请工单页面,配置需要申请的实例、数据库、表或其他资源的权限。
-
选择需要申请的资源。
类别
支持的权限类别
说明
未开启安全托管
实例-登录
未开启安全托管的实例,只能申请登录实例的权限。
-
输入实例地址、名称,单击搜索或按回车进行搜索。
-
在搜索结果列表中,选择目标实例。
-
单击
,将选中的实例添加到确认已选择的实例列表中。
已开启安全托管
-
实例Owner
-
库OWNER
-
表OWNER
-
实例权限
-
实例性能
-
库权限
-
表权限
-
可编程对象
-
行权限
-
敏感列权限
以申请数据库权限举例。
-
输入数据库库名,单击搜索或按回车键进行搜索。支持
%模糊匹配搜索,例如:dms%test。 -
在搜索结果列表中,选中要添加权限的目标。
-
单击
,将选中的目标添加到确认已选择的库/表/列列表中。
-
-
选择需要申请的权限类型(登录、查询、导出和变更)、设置权限的期限,再填入申请原因。
-
-
配置完成后,单击提交申请,系统将进入审批流程。
-
审批工单。待审批通过后,系统自动为您分配申请的权限。
-
对于安全协同实例,可以自定义审批流程。
-
对于非安全协同实例,且未开启非安全托管,则只能申请实例登录权限,审批人默认为实例DBA;若实例开启安全托管,审批人为对应资源Owner,如果没有设置Owner,则审批人为实例DBA。
-
,将选中的实例添加到确认已选择的实例列表中。
,将选中的目标添加到确认已选择的库/表/列列表中。通过我的权限管理资源权限
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
-
在Owner资源页签下,进行如下资源权限管理操作。
-
授予其他用户该资源的权限。
单击目标实例或库表资源右侧的权限管理,再进行授权操作。
在权限管理弹窗中,可查看已授权用户列表,包括用户名称(如
db_doc)、权限类型(查询、导出、变更)、有效期及开通方式等信息。 -
调整实例、库、表的Owner。
选中目标资源,单击转交Owner、添加Owner或释放Owner。
在 Owner资源 页签的实例列表中,选中目标资源后,可单击 转交Owner、添加Owner 或 释放Owner 来调整资源Owner。
-