为用户分配与回收实例库表等数据权限-数据管理 DMS-阿里云

当您需要给指定用户分配或回收实例、库、表等资源权限时，可参考本文档进行操作。

前提条件

实例已开启安全托管。开启操作，请参见开启安全托管。
待授权的用户需提前录入DMS中。添加用户的方法，请参见用户管理。

注意事项

实例开启安全托管后才可以进行库、表、行、敏感列等细粒度权限管控。如果需要管理敏感列权限，实例还需要开启敏感数据保护功能。
管理员或DBA拥有授予、回收当前DMS租户下用户已有的资源权限。
由数据Owner管理的数据库、表，数据Owner可以授予、回收人员的库、表权限。

权限管理方式说明

用户角色	权限管理方式	管理的资源类型
管理员	通过实例管理功能	实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。
	通过用户管理功能	实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。
	通过权限模板功能	实例权限、库权限、表权限。
DBA	通过实例管理功能	实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。
DBA	通过权限模板功能	实例权限、库权限、表权限。
资源Owner	通过我的权限功能	实例权限、库权限、表权限、敏感列权限、行权限、资源Owner。
当前租户下的所有用户（不限制角色）	通过权限工单申请	实例权限、库权限、表权限、可编程对象、敏感列权限、行权限、资源Owner。

说明

资源Owner包含：实例Owner、库Owner和表Owner。

通过实例管理功能管理资源权限

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 数据资产 > 实例管理。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择数据资产 > 实例管理。
在实例列表页签下，搜索并找到目标实例，再单击更多 > 管理实例。
在实例权限页签下，授予、回收实例权限。
- 授予实例权限
  单击授权实例权限，选择授予指定用户实例的性能查询、查询、导出或变更权限，单击确认。
- 回收实例权限
  - 单个回收：单击目标用户右侧的回收权限，选择需要回收的权限，单击确认。
  - 批量回收：选中需要回收权限的用户，单击回收权限，选择需要回收的权限，单击确认。
- 授权延期
  当用户拥有的实例权限即将过期，可以选中目标用户，再单击授权延期，延长权限的使用时间。
在库权限页签下，授予、回收数据库权限。
- 授予数据库权限
  单击授权库权限，选择授予用户指定数据库的查询、导出或变更权限，单击确认。
- 回收数据库权限
  - 单个回收：单击目标用户行操作列下的回收权限，选择需要回收的权限，再单击确认。
  - 批量回收：选中需要回收权限的用户，单击回收权限，选择需要回收的权限，再单击确认。
- 授权延期
  当用户拥有的实例权限即将过期，可以选中目标用户，再单击授权延期，延长权限的使用时间。
在数据库列表页签下，可以批量设置Owner、转交Owner、授权和回收库、表、列、行权限。
说明
您也可以单击目标数据库右侧的更多 > 权限管理，进行资源权限管理。

通过用户管理功能管理资源权限

授予或回收资源权限

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 运维管理 > 用户管理。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择运维管理 > 用户管理。
授予用户权限。
说明
实例需要开启安全托管，管理员才可以给用户授予库、表、行和敏感列权限。
选中目标用户，单击页面上方的授权用户，或单击目标用户行右侧的授权，授予用户实例、数据库、表、行、敏感列权限，或通过添加用户至权限模板为用户授权。
说明
您也可以单击目标数据库右侧的授权，进行资源权限管理。
回收用户权限。
1. 单击目标用户行右侧的更多 > 权限详情。
2. 选择目标资源，选中需要释放的资源，再单击释放权限。
3. 选中需要释放的导出、变更权限类型，单击确认即可。
  如下以释放库权限为例进行演示。
权限续期。
如果在权限到期后，您还需要使用该资源，可以申请延长资源使用期限。

查看用户已有的权限

管理员可以查看指定用户已有的实例、库、表、行、敏感列权限，以及Owner资源。

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 运维管理 > 用户管理。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择运维管理 > 用户管理。
单击目标用户行右侧的更多 > 权限详情。
在普通权限页签下，查看该用户已有的资源权限。
在Owner资源页签下，查看该用户为哪些资源的Owner。

通过权限模板功能管理资源权限

授予或收回用户权限

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 安全与规范 > 权限中心 > 权限模板。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择安全与规范 > 权限中心 > 权限模板。
单击已有权限模板名称或创建新权限模板，进入模板详情页。创建操作，请参见创建权限模板。
添加资源。
1. 单击添加资源，在该模板内添加实例、库及表资源。
2. 在搜索框中输入目标实例名称，按下Enter，再选中目标资源及权限类型。
  说明
  在确认添加资源之前，您可以在不同页签下，同时添加实例、库和表。
3. 单击确认。
添加用户。
1. 单击模板详情页面的授权。
2. 单击搜索框，选择需要授权的用户，并设置权限有效期。
3. 单击确认。

查看已授权用户及回收用户权限

在模板详情页面，单击授权记录。
在已授权人员页签下，进行查看已获得该模板授权的用户、一键回收用户权限的操作。
说明
回收权限范围为：该用户最后一次被授权的模板内的所有资源的权限。

通过权限工单申请资源权限

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 安全与规范 > 权限中心 > 权限工单。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择安全与规范 > 权限中心 > 权限工单。
在权限申请工单列表页面，单击权限申请，在下拉菜单中选择需申请的权限类别。

在权限申请工单页面，配置需要申请的实例、数据库、表或其他资源的权限。

选择需要申请的资源。

类别

支持的权限类别

说明

未开启安全托管

实例-登录

未开启安全托管的实例，只能申请登录实例的权限。

输入实例地址、名称，单击搜索或按回车进行搜索。
在搜索结果列表中，选择目标实例。
单击，将选中的实例添加到确认已选择的实例列表中。

已开启安全托管

实例Owner
库OWNER
表OWNER
实例权限
实例性能
库权限
表权限
可编程对象
行权限
敏感列权限

以申请数据库权限举例。

输入数据库库名，单击搜索或按回车键进行搜索。支持%模糊匹配搜索，例如：dms%test。
在搜索结果列表中，选中要添加权限的目标。
单击，将选中的目标添加到确认已选择的库/表/列列表中。

选择需要申请的权限类型（登录、查询、导出和变更）、设置权限的期限，再填入申请原因。

配置完成后，单击提交申请，系统将进入审批流程。
审批工单。待审批通过后，系统自动为您分配申请的权限。
- 对于安全协同实例，可以自定义审批流程。
- 对于非安全协同实例，且未开启非安全托管，则只能申请实例登录权限，审批人默认为实例DBA；若实例开启安全托管，审批人为对应资源Owner，如果没有设置Owner，则审批人为实例DBA。

通过我的权限管理资源权限

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 安全与规范 > 权限中心 > 我的权限。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择安全与规范 > 权限中心 > 我的权限。
在Owner资源页签下，进行如下资源权限管理操作。
- 授予其他用户该资源的权限。
  单击目标实例或库表资源右侧的权限管理，再进行授权操作。
- 调整实例、库、表的Owner。
  选中目标资源，单击转交Owner、添加Owner或释放Owner。