您可以在RAM控制台为DBA或研发人员设置权限策略,以限制其篡改加密规则的行为。本文介绍了创建权限策略,以及为用户或用户组配置权限策略的方法。
背景信息
在全密态PolarMySQL中,PolarDB通过在控制台管理加密规则的方式对用户查询的内容进行防护,以防止DBA或研发人员恶意盗窃数据,达到用户敏感数据只为用户本身所有的目的。但该方案是基于控制台来配置敏感数据规则,而DBA和研发人员往往也具有阿里云数据库的控制台权限。如何限制他们恶意篡改控制台规则,让敏感数据规则配置安全可靠?
为了解决这个问题,您可以使用阿里云RAM系统,基于对RAM用户的权限约束来解决这个问题。即您可以在自己的阿里云账号下创建多个RAM用户,并将这些RAM用户分配给研发人员和DBA。通过对RAM用户的权限进行限制,使相应的账号不具有篡改控制台规则的权限。
使用说明
创建用户
创建权限策略
登录RAM控制台。
在左侧导航栏选择权限管理>权限策略,并单击创建权限策略。
在可视化编辑页面,进行如下配置:
将效果设置为拒绝;
服务设置为云原生关系型数据库PolarDB;
操作选中写操作中的
polardb:ModifyMaskingRules
和polardb:DeleteMaskingRules
(可以通过搜索MaskingRules关键字找到对应操作)。
单击继续编辑基本信息。
设置权限策略的名称,并单击确定。本文将权限策略名称设置为禁止修改敏感规则,您可以根据实际需要来命名权限策略名称。
配置权限策略
登录RAM控制台。
在左侧导航栏选择身份管理>用户。
找到目标用户,并单击目标用户对应操作栏的添加权限。
在添加权限页面,选择自定义策略中的权限名称。
单击确定。
权限策略配置完成后,该用户即使拥有PolarDB集群的正常管控权限,也不能修改和删除加密规则。当该用户尝试对敏感规则进行更改或删除时,会报如下错误: