全部產品
Search
文件中心

Data Management:管理存取控制許可權

更新時間:Nov 16, 2024

Data Management提供了全方位細粒度的資料安全管理功能,您可以對執行個體、資料庫、表、行、敏感列等進行許可權管理。本文介紹不同的使用者角色進行許可權管理的方法。

注意事項

  • 未開啟安全託管的執行個體,僅支援申請或授予登入執行個體許可權。

  • 已開啟安全託管的執行個體,支援對執行個體、資料庫、表、行、敏感列等全方位、細粒度的許可權管控。開啟安全託管的操作,請參見安全託管

不同系統角色進行許可權管理的方法

系統角色

許可權管理的方法

普通使用者

DMS中的普通使用者(除開啟了使用者存取控制的使用者)可以通過許可權工單申請某個資源的許可權。具體操作,請參見通過工單申請資產許可權

DBA、管理員

說明

DBA僅可通過執行個體管理功能進行許可權管理。管理員可通過上述四種方法進行許可權管理。

結構唯讀

不需要擁有執行個體、庫、表的查詢、變更或匯出許可權,即可查看所有執行個體、庫、表的中繼資料。

說明
  • 您可單擊控制台首頁右上方的person,查看您的系統角色。

  • 除中繼資料存取控制外的許可權變更操作(申請、授權、釋放、回收)都會記錄至動作記錄中,您可以在安全與規範 > Action Trail動作記錄頁簽下,查看許可權變更記錄。

通過工單申請資產許可權

Data Management中的使用者(除被開啟存取控制的使用者)都可以通過提交工單的方式申請許可權。

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 許可權中心 > 許可權工單

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 許可權中心 > 許可權工單

  3. 許可權申請工單列表頁面,單擊許可權申請,在下拉式功能表中選擇需申請的權限類別。

  4. 許可權申請工單頁面,配置需要申請的執行個體、資料庫、表或其他資源的許可權。

    1. 選擇需要申請的資源。

      類別

      支援的權限類別

      說明

      未開啟安全託管

      執行個體-登入

      未開啟安全託管的執行個體,只能申請登入執行個體的許可權。

      1. 輸入執行個體地址、名稱,單擊搜尋或按斷行符號進行搜尋。

      2. 在搜尋結果列表中,選擇目標執行個體。

      3. 單擊5添加2,將選中的執行個體添加到確認已選擇的執行個體列表中。

      已開啟安全託管

      • 執行個體Owner

      • 庫OWNER

      • 表OWNER

      • 執行個體許可權

      • 執行個體效能

      • 庫許可權

      • 表許可權

      • 可程式化對象

      • 行許可權

      • 敏感列許可權

      以申請資料庫許可權舉例。

      1. 輸入資料庫庫名,單擊搜尋或按斷行符號鍵進行搜尋。支援%模糊比對搜尋,例如:dms%test

      2. 在搜尋結果列表中,選中要添加許可權的目標。

      3. 單擊5添加2,將選中的目標添加到確認已選擇的庫/表/列列表中。

    2. 選擇許可權。

      選擇需要申請的權限類別型(登入、查詢、匯出和變更)、設定許可權的期限,再填入申請原因以及背景。

  5. 配置完成後,單擊提交申請,系統將進入審批次程序。

  6. 審批工單。待審批通過後,系統自動為您分配申請的許可權。

    • 對於安全協同執行個體,可以自訂審批次程序。

    • 對於非安全協同執行個體,且未開啟非安全託管,則只能申請執行個體登入許可權,審批人預設為執行個體DBA;若執行個體開啟安全託管,審批人為對應資源Owner,如果沒有設定Owner,則審批人為執行個體DBA。

查看已有的資產許可權

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 許可權中心 > 我的許可權

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 許可權中心 > 我的許可權

  3. 查看普通許可權。

    普通許可權頁簽下,選擇目標權限類別型,查看您擁有的資源許可權。

  4. 查看我Owner的資源。

    Owner資源頁簽下,選擇Owner的執行個體、庫或表,查看您擁有的許可權。

    說明
    • 執行個體許可權中包含執行個體登入、效能查看、查詢、匯出和變更許可權。

    • 暫不支援查詢和釋放可程式化對象許可權。

釋放已有的資源許可權

釋放許可權後,您將不具有某個執行個體、庫、表、敏感列或行的查詢、匯出或變更許可權。

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 許可權中心 > 我的許可權

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 許可權中心 > 我的許可權

  3. 釋放普通許可權。

    在普通許可權列表中,選中需要釋放許可權的資源,單擊釋放許可權

  4. 釋放Owner資源。

    在具有Owner的資源清單中,選中需要釋放的資源,單擊釋放Owner

管理員、DBA管理資源許可權

通過執行個體管理功能管理資源許可權

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 資料資產 > 執行個體管理

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇資料資產 > 執行個體管理

  3. 管理執行個體許可權。

    1. 單擊執行個體列表頁簽,在目標執行個體的操作列中,選擇更多 > 系統管理權限

    2. 在目標使用者行的操作列下,查看、回收使用者的許可權或授予某個使用者執行個體登入許可權或效能查看許可權。

      • 非安全託管的執行個體僅可授予使用者執行個體登入的許可權。

      • 安全託管的執行個體可以授權使用者效能查看查詢匯出變更許可權。

  4. 管理資料庫、表許可權。

    已開啟安全託管的執行個體,管理員、DBA可以為某個使用者添加庫表許可權。未開啟安全託管不支援庫表粒度的許可權管理。

    1. 單擊資料庫列表頁簽,在目標資料庫的操作列中,選擇更多 > 許可權管理

    2. 選擇目標許可權分類,在目標使用者行的操作列中,查看、回收使用者的許可權。同時,也可單擊授權庫許可權授權表許可權,為某個使用者添加庫、表許可權。

通過權限範本功能管理資源許可權

具體操作,請參見建立權限範本

管理員管理其他使用者的許可權

管理員可以通過使用者管理功能為某個使用者添加許可權或回收使用者的許可權。可添加、回收的權限類別型包括執行個體許可權、庫許可權、表許可權、行許可權和敏感列許可權。

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 營運管理 > 使用者管理

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇營運管理 > 使用者管理

  3. 授予使用者權限。

    1. 在目標使用者的操作列中,單擊授權,在下拉式功能表中選擇對應的權限類別。

    2. 在彈出的授權對話方塊中,配置授權資訊,並單擊確認

  4. 回收使用者權限。

    1. 在目標使用者的操作列中,單擊更多 > 許可權詳情

    2. 使用者權限列表對話方塊的普通許可權頁簽下,選擇目標權限類別。

    3. 選中目標執行個體,單擊釋放許可權

    4. 許可權操作對話方塊中,選擇您要回收、釋放的權限類別型,單擊確認

常見問題

Q:通過存取控制授予RAM使用者(子帳號)在DMS中登入RDS執行個體的許可權後,RAM使用者在DMS登入執行個體時,還是提示無登入執行個體的許可權,該如何處理?

A:需要保證阿里雲帳號(主帳號)已將該RDS執行個體錄入至DMS,此時,RAM使用者再進行登入RDS執行個體操作。錄入執行個體的具體方法,請參見雲資料庫錄入