資料匯出安全規則可以對資料匯出的工單進行庫表許可權校正、敏感列許可權校正、行許可權校正等一系列檢查,確保資料的安全。
前提條件
系統角色為管理員、DBA、安全性系統管理員的其中一個或多個。查看使用者角色,請參見查看我的系統角色。注意事項
僅有執行個體的管控模式為安全協同,才可以設定審批次程序。具體操作,請參見修改預設審批模板。
基礎配置項
當審批規則校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。您可以通過切換審批模板來更改預設審批模板的審批次程序。具體操作,請參見修改預設審批模板。
檢測點
因子和動作
- 因子因子是系統內建變數,可用來擷取安全規則校正的上下文資訊,如擷取SQL類型、影響行數等。因子全部以
@fac.
開頭,後接因子名稱。每個模組的不同檢測點均提供不同因子,資料匯出中提供因子的說明請參見下表:@fac.env_type 環境類型,值為環境標識,如 DEV
、PRODUCT
。更多環境類型,請參見執行個體環境類型。@fac.is_ignore_export_rows_check 資料匯出是否勾選忽略校正影響行數。 @fac.export_rows 資料匯出影響行數。 @fac.include_sec_columns 資料匯出是否包含敏感欄位。 @fac.sec_columns_list 資料匯出包含的敏感欄位,格式為: 表名.欄位名,[表名.欄位名, ...]
。@fac.user_is_admin 提交者是否為管理員。 @fac.user_is_dba 提交者是否為DBA。 @fac.user_is_inst_dba 提交者是否為執行個體DBA。 @fac.user_is_sec_admin 提交者是否為安全性系統管理員。 - 動作動作是滿足
if
條件之後系統執行的行為,比如:禁止提交工單、選擇工作流程、允許執行、拒絕執行等,這些動作表達了安全規則的主要目的。動作全部以@act.
開頭,後接動作名稱。每個模組的不同檢測點均提供不同動作,資料匯出中提供動作的說明請參見下表:@act.do_not_approve 設定審批次程序為免審批。 @act.choose_approve_template 設定審批次程序,選擇特定的審批模板。 @act.choose_approve_template_with_reason 設定審批次程序,選擇特定的審批模板並備忘原因。 @act.forbid_submit_order 禁止提交工單。 @act.enable_check_permission 校正資料匯出工單提交人的庫表許可權。 @act.disable_check_permission 不校正資料匯出工單提交人的庫表許可權。 @act.enable_check_sec_column 校正資料匯出工單提交人的敏感欄位許可權。 @act.disable_check_sec_column 不校正資料匯出工單提交人的敏感欄位許可權。
修改預設審批模板
- 登入Data Management 5.0。
- 在頂部功能表列中,選擇 。
- 單擊目標規則集行操作列下的編輯。
- 在詳情頁左側的導覽列中,單擊資料匯出。
- 檢測點選擇基礎配置項。
- 單擊資料匯出預設審批模板規則名行操作列下的編輯。
- 在編輯配置項對話方塊中,單擊切換審批模板。
- 單擊目標模板名稱行操作列下的選擇。 說明 您也可以單擊重設為免審批,工單將跳過審批環節。
- 單擊提交。
新增規則
- 登入Data Management 5.0。
- 在頂部功能表列中,選擇 。
- 單擊目標規則集行操作列中的編輯。
- 在詳情頁左側的導覽列中,單擊資料匯出。
- 檢測點選擇基礎配置項。
- 單擊新增規則。
- 在新增規則 - 資料匯出對話方塊中,配置如下資訊:
檢測點 是否必填 說明 檢測點 是 選擇需要增加規則的檢測點。資料匯出中提供了2個檢測點: - 預檢查校正
- 審批規則校正
模板庫 是 安全規則模板庫中提供了大量規則模板,選擇檢測點後,您可以從模板庫中按需載入規則模板。提供的模板如下: - 預檢查校正:提供了控制庫表許可權校正、控制敏感列許可權校正、控制行許可權校正模板。
- 審批規則校正:提供了免批、預設審批定義、設定涉及高敏感欄位匯出的審批次程序模板。
規則名稱 是 自訂規則名稱。 說明 若您在模板庫中選擇了規則模板,此處會自動填滿。規則DSL 是 輸入規則DSL。關於DSL文法,請參見安全規則DSL文法。 - 輸入規則DSL時,您可以參考對話方塊右側的因子、動作、函數和操作符說明列表。
- 若您載入了規則模板,您可以在規則模板的基礎上修改規則DSL。
- 單擊提交。說明 新增的規則預設為已禁用狀態,您可在當前頁面選擇對應的檢測點,找到新增的規則名,單擊操作列下的啟用,再單擊確認。至此,新增的規則已被啟用。