本文介紹Data Management中的使用者管理功能,包含添加使用者、編輯使用者、管控使用者權限等操作。
前提條件
系統角色為管理員。查看系統角色的具體操作,請參見查看我的系統角色。
注意事項
確保一個租戶內至少保留一個有效管理員角色帳號(應用內有限制保障)。
通過DMS管理的使用者都可設定為管理員角色,此操作與登入DMS帳號的屬性無關。例如,無論是阿里雲帳號(主帳號)或RAM使用者(子帳號)都可進行操作。
開通DMS服務時,阿里雲帳號(主帳號)初始化為管理員角色。
若RAM使用者初次使用DMS,且擁有AdministratorAccess許可權,將自動初始化為DMS的管理員角色。更多資訊,請參見管理RAM使用者配置。
一個租戶下可添加多個阿里雲帳號。您可以在使用者管理頁面進行添加,系統自動將添加的使用者加入您所在的租戶下。已加入該租戶的使用者可以查看租戶資訊。
說明阿里雲帳號(主帳號)首次登入DMS時,系統會自動建立該帳號對應的租戶。更多租戶資訊,請參見租戶的概念。
登入DMS控制台
可通過如下三種方式登入DMS控制台:
使用阿里雲帳號登入DMS控制台。具體操作,請參見登入DMS的帳號。
以RAM使用者登入DMS控制台。具體操作,請參見登入DMS的帳號。
配置使用者SSO(Single Sign On,單點登入,也稱為身份同盟登入)或角色SSO,使用企業自身的身份認證系統登入DMS控制台。具體操作,請參見使用域帳號登入DMS。
添加使用者
方法一:手動添加使用者
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。進入使用者管理頁面,單擊新增按鈕。
在添加使用者對話方塊中,輸入待增加使用者的阿里雲帳號UID。
說明滑鼠移動到頁面右上方的表徵圖,查看阿里雲帳號UID。
為待添加使用者選擇系統角色,支援多選。更多資訊,請參見系統角色。
單擊確認。
方法二:添加當前阿里雲帳號的RAM使用者(子帳號)
僅允許當前的阿里雲帳號和已授權ListUser許可權的RAM使用者操作。
通過該方式添加的使用者,預設的系統角色為普通使用者。如需調整系統角色請參見編輯使用者。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。進入使用者管理頁面,單擊頁面上方的同步子帳號。
在同步子帳號對話方塊中,搜尋帳號阿里雲帳號顯示名稱或UID。
選中目標子帳號,單擊添加選中使用者。
編輯使用者
編輯使用者資訊
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。在使用者管理頁面,選中目標使用者。
單擊頁面上方的編輯使用者。
說明您還可以直接單擊目標使用者行操作列下的編輯,編輯使用者資訊。
在編輯使用者對話方塊中,您可修改如下資訊:
說明您可在租戶頭像處修改自己的手機號碼和電子郵箱。具體操作,請參見配置個人資訊及通知方式。
類別
配置
說明
基本資料
顯示名稱
顯示在使用者管理頁面的名稱,可以直觀辨認該使用者的身份。
角色
DMS提供普通使用者、DBA、管理員、安全性系統管理員、結構唯讀五種系統角色。更多資訊,請參見系統角色。
查詢上限次數
設定平台目前使用者每天查詢結果集的總次數上限,達到該上限則無法繼續查詢。取值為整數,您可選擇系統已有的有效期間,也可選擇其他自行設定有效期間。
說明若某使用者由於發布、跟蹤系統等原因,導致當天的查詢行數或者次數超過限額,可以找到對應使用者,編輯調大對應的上限值。
查詢上限行數
設定平台目前使用者每天查詢結果集的總行數上限,達到該上限則無法繼續查詢。取值為整數,您可選擇系統已有的有效期間,也可選擇其他自行設定有效期間。
DingTalk機器人
請輸入DingTalk機器人webhook地址。具體操作,請參見擷取DingTalk機器人Webhook地址。
webhook
請輸入自訂webhook地址,支援整合到已有的營運系統或訊息通知系統。具體操作,請參見使用自訂webhook通知。
簽名方式
支援NONE、HMAC_SHA1兩種方式。
NONE(預設):不使用簽名。
HMAC_SHA1:使用HMAC_SHA1密碼編譯演算法(Hashed Message Authentication Code, Secure Hash Algorithm)。
簽名密鑰
填寫簽名密鑰。該配置僅在簽名方式選擇HMAC_SHA1時顯示。
通知方式
支援簡訊、DingTalk、郵箱、DingTalk機器人、webhook五種方式,且支援多選。
單擊確認修改。
授權使用者
以授權執行個體操作為例進行介紹,同時支援授權權限範本、授權資料庫、授權表、授權行、授權敏感列操作。更多許可權資訊,請參見許可權管理。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。選中目標使用者,單擊頁面上方的 。
說明您也可以選擇目標使用者行操作列下的
,對使用者進行授權。在授權執行個體對話方塊中,配置如下資訊:
類別
配置
是否必填
說明
授權的執行個體
無
是
選擇需要授權的資料庫執行個體,支援多選。
使用權限設定
權限類別型
是
非安全協同模式執行個體支援執行個體登入。安全協同模式執行個體支援效能查看。
到期時間
是
選擇該許可權到期日期。
禁用使用者
禁用使用者後,該使用者將無法登入DMS,但其原有的許可權等配置資料其許可權不會被回收或釋放等其他變動,在啟用使用者後原有的許可權及配置資料仍可以繼續使用。
禁用使用者後,仍佔用使用者規格的1個名額。
無法禁用系統角色為某資料庫執行個體DBA的使用者,您需要將該資料庫執行個體DBA修改為其他使用者後再進行操作。修改資料庫執行個體DBA的具體操作,請參見編輯執行個體。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。選中目標使用者,選擇頁面上方的 。
在確認對話方塊中,單擊確認。
刪除使用者
刪除使用者後,該使用者無法登入DMS,同時會將所有的資料Owner配置、許可權資料從DMS中清空。
刪除的目標使用者不能綁定任何資源資訊。例如,系統執行個體管理裡的DBA、安全規則裡的審批節點人員。
刪除目標使用者後,所有資料都會被清空,但使用者記錄和動作記錄不會清除,在使用者的帳號資訊上顯示已刪除的標籤。
已刪除使用者不會佔用使用者規格的名額。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。選中目標使用者,選擇頁面上方的 。
在確認對話方塊中,單擊確認。
啟用使用者
啟用使用者可以恢複禁用狀態使用者的原有許可權及資料配置,也可恢複刪除狀態使用者登入DMS的許可權,但從刪除狀態恢複到啟用狀態後的使用者,等同於一個全新的使用者,原有許可權及資料配置都被清除,需要重新申請許可權。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。選中目標使用者,選擇頁面上方的 。
在確認對話方塊中,單擊確認。
開啟使用者存取控制
如果目標使用者開啟了中繼資料存取控制功能,那麼該使用者會受到如下限制:
僅能在DMS查詢與訪問已被授權的資料庫,可以在控制台首頁頂部導覽列中,選擇 ,查詢已被授權的許可權。詳情請參見查看我的許可權。
無法查看到該執行個體下的其他資料庫與其他執行個體,也無法主動申請其他執行個體、資料庫的許可權。
- 登入Data Management 5.0。
在頂部功能表列中,選擇 。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的表徵圖,選擇
。在目標使用者行的操作列下,選擇 。
說明您也可以批量選中多個使用者並單擊頁面上方的存取控制按鈕,批量開啟多個使用者的存取控制開關。
在使用者存取控制對話方塊中,開啟中繼資料存取控制開關,並單擊確認。
相關文檔
若您已完成使用者管理,可能還需要進行如下操作:
您還可以使用API管理DMS中的使用者。
常見問題
Q:DMS中的管理員或者DBA角色可以是RAM使用者嗎?
A:可以。角色配置與帳號無關。
Q:如果某個使用者操作資料庫行為有疑,如何處理?
A:
若需要保留目標使用者的許可權,您可以選擇禁用使用者,禁用後,該使用者無法登入DMS服務。再使用DMS的Action Trail功能查看該使用者對資料庫進行直接操作的所有行為。若經過排查後無該使用者的操作無問題,則可以重新啟用使用者,啟用後,該使用者原有的許可權及配置仍然存在,可快速投入工作。
若不需要保留使用者的許可權,可選擇刪除使用者,刪除後,該使用者無法登入DMS服務,同時該帳號下的所有許可權、資料Owner等配置會被清空。
Q:系統角色為管理員的使用者如何快速找到其他帳號?
A:在控制台頂部功能表列中,選擇
,在使用者管理頁面搜尋目標帳號,支援帳號、郵箱、顯示名稱、阿里雲UID四個維度關鍵字檢索和帳號狀態的快速過濾。Q:使用者被禁用後,還可以登入DMS嗎?
A:不可以。
Q:禁用使用者時,系統提示該使用者為某個執行個體的DBA無法禁用,如何處理?
A:您可通過編輯執行個體,更換執行個體DBA。
說明僅DMS系統角色為DBA的使用者才能被更換為某個執行個體的DBA。若待成為執行個體DBA的使用者不是DBA,請前往使用者管理編輯使用者角色。
Q:在DMS刪除的使用者為什麼沒有徹底從已有使用者列表中刪除?
A:目前刪除的使用者僅在列表中被標記為已刪除,不支援在DMS中徹底清除。
Q:如何在使用者管理中釋放使用者已有的執行個體、資料庫等資源許可權?
A:管理員或DBA進入使用者管理,找到目標使用者,在操作列選擇
,選擇需要釋放的資源許可權,單擊釋放許可權即可。