Data Management提供了全方位細粒度的資料安全管理功能,支援對執行個體、資料庫、表、資料列、資料行、中繼資料等進行存取控制許可權管理。本文對DMS提供的存取控制許可權進行介紹。
權限類別說明
許可權分類 | 權限類別 | 許可權說明 | 執行個體是否開啟安全託管 |
操作許可權(普通許可權) | 執行個體許可權 | 登入執行個體許可權 使用者在擷取執行個體的登入許可權後,可以通過資料庫帳號和密碼訪問資料庫執行個體。 說明 資料庫的帳號和密碼由您公司的相關負責人管理和提供。 | 未開啟安全託管 |
查看執行個體效能許可權 對於開啟安全託管的執行個體,查看資料庫效能需要獲得效能查看許可權。更多資訊,請參見資料庫效能。 | 已開啟安全託管 | ||
擁有整個執行個體的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | |||
庫許可權 | 擁有整個資料庫的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | ||
表許可權 | 擁有整個表的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | ||
敏感列許可權 | 擁有敏感欄位的查詢、匯出、變更許可權。 說明 申請開通敏感列許可權的前提條件:
| ||
行許可權 | 擁有行級管控資料的查詢、匯出、變更許可權。更多資訊,請參見行級管控。 說明 申請開通行許可權的前提條件:擁有庫、表許可權。 | ||
可程式化對象許可權 | 對於已開啟安全託管的執行個體,獲得可程式化對象許可權才可以查詢、匯出、變更資料庫的可程式化對象。更多資訊,請參見可程式化對象。 | ||
資料許可權(資源Owner) | 執行個體Owner | Owner可查看對應資源的人員授予情況,授予、回收對應資源的許可權,可查詢對應資源中的資料(不包含敏感欄位和行級管控資料)。 說明 未開啟安全託管的執行個體添加或刪除執行個體Owner,只能由管理員、DBA在首頁左側執行個體列表中按右鍵目標執行個體,選擇 進行管理。 | 已開啟安全託管 |
庫Owner | |||
表Owner | |||
中繼資料存取控制 | 中繼資料存取控制 |
說明 如果您擁有資料許可權、操作許可權中的任意一種許可權,即被視為已授權該執行個體或資料庫。 | 已開啟安全託管 |
許可權說明如下:
查詢指在SQL視窗執行查詢語句的許可權。
變更指擁有在SQL視窗執行變更語句的許可權(SQL視窗執行變更語句還受管理員配置的安全規則約束);擁有提交資料變更、庫表同步工單的許可權(非直接變更)。
匯出指擁有提交資料匯出工單的許可權(非直接匯出)。
不同使用者角色進行許可權管理的方法
普通使用者:
DMS中的普通使用者(除開啟了使用者存取控制的使用者)可以通過工單申請某個資源的操作許可權、資料許可權。具體操作,請參見通過工單申請資產許可權。
管理員、DBA:
通過執行個體管理功能,管理執行個體、資料庫的許可權。具體操作,請參見管理員、DBA管理資源許可權。
開啟執行個體、資料庫存取控制。具體操作,請參見設定存取控制。
管理員:
通過使用者管理功能,授予、回收目標使用者某個資源的執行個體、庫、表、行、敏感列許可權。具體操作,請參見管理員管理其他使用者的許可權。
開啟使用者存取控制。具體操作,請參見開啟使用者存取控制。
查看使用者角色,請參見查看我的系統角色。
除中繼資料存取控制外的許可權變更操作(申請、授權、釋放、回收)均會記錄至動作記錄中,您可以在
的動作記錄頁簽下,查看許可權變更記錄。
通過工單申請資產許可權
Data Management中的使用者(除被開啟存取控制的使用者)都可以通過提交工單的方式申請許可權。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。在許可權申請工單列表頁面,單擊許可權申請,在下拉式功能表中選擇需申請的權限類別。
在許可權申請工單頁面,配置需要申請的執行個體、資料庫、表或其他資源的許可權。
選擇需要申請的資源。
類別
支援的權限類別
說明
未開啟安全託管
執行個體-登入
未開啟安全託管的執行個體,只能申請登入執行個體的許可權。
輸入執行個體地址、名稱,單擊搜尋或按斷行符號進行搜尋。
在搜尋結果列表中,選擇目標執行個體。
單擊,將選中的執行個體添加到確認已選擇的執行個體列表中。
已開啟安全託管
執行個體Owner
庫OWNER
表OWNER
執行個體許可權
執行個體效能
庫許可權
表許可權
可程式化對象
行許可權
敏感列許可權
以申請資料庫許可權舉例。
輸入資料庫庫名,單擊搜尋或按斷行符號鍵進行搜尋。支援
%
模糊比對搜尋,例如:dms%test
。在搜尋結果列表中,選中要添加許可權的目標。
單擊,將選中的目標添加到確認已選擇的庫/表/列列表中。
選擇許可權。
選擇需要申請的權限類別型(登入、查詢、匯出和變更)、設定許可權的期限,再填入申請原因以及背景。
配置完成後,單擊提交申請,系統將進入審批次程序。
審批工單。待審批通過後,系統自動為您分配申請的許可權。
對於安全協同執行個體,可以自訂審批次程序。
對於非安全協同執行個體,且未開啟非安全託管,則只能申請執行個體登入許可權,審批人預設為執行個體DBA;若執行個體開啟安全託管,審批人為對應資源Owner,如果沒有設定Owner,則審批人為執行個體DBA。