在安全規則中,您可以在許可權申請節點中定製關於許可權申請系列的規則,例如執行個體申請許可權、庫申請許可權、表申請許可權等。
背景資訊
新版的安全規則具備非常靈活的能力(DSL),可以根據業務需求自訂風險層級,讓不同對象的許可權申請走不同的審批次程序。例如您可以用不同的形式把控資料庫執行個體的許可權申請,基礎文法請參見安全規則DSL文法。
前提條件
使用者角色為管理員、DBA、安全性系統管理員。
基礎配置項
許可權申請有8個基礎配置項。
【執行個體-許可權申請】預設審批模板:當執行個體申請許可權校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。您可以通過切換審批模板來更改預設審批模板的審批次程序。操作流程請參見修改預設審批模板操作步驟。
【庫-許可權申請】預設審批模板:當庫許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
【表-許可權申請】預設審批模板:當表許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
【可程式化對象-許可權申請】預設審批模板:當可程式化對象校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
【欄位-許可權申請】預設審批模板:當敏感欄位申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
【行-許可權申請】預設審批模板:當行許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
【Owner-申請】預設審批模板(資源無Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且無資料Owner時,系統會採用此預設的審批模板。
【Owner-申請】預設審批模板(資源有Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且有資料Owner時,系統會採用此預設的審批模板。
檢測點
當一個許可權申請的工單被提交時,系統會校正該工單是否符合各檢測點的相關規則。只有在全部校正通過的情況下,該工單才會被允許存取。許可權申請中有如下7個檢測點:
Owner申請校正:設定執行個體-OWNER、表-OWNER、庫-OWNER申請工單的審批次程序或限制條件。
執行個體申請許可權校正:設定執行個體-效能、執行個體-登入申請工單的審批次程序或限制條件。
庫許可權申請校正:設定庫-許可權申請工單的審批次程序或限制條件。
表許可權申請校正:設定表-許可權申請工單的申請流程或限制條件。
可程式化對象校正:設定可程式化對象申請工單的審批次程序或限制條件。
敏感欄位申請校正:設定敏感列-許可權申請工單的申請流程或限制條件。
行許可權申請校正:設定行-許可權申請工單的申請流程或限制條件。
您可以在每個檢測點中使用安全規則模板庫中提供的規則,也可以自訂新增規則。詳情請參見新增規則操作步驟。
因子和動作
因子:因子是系統內建變數,可用來擷取安全規則校正的上下文資訊,如擷取SQL類型、資料庫名稱等。因子全部以
@fac.
開頭,後接因子名稱。每個模組的不同檢測點均提供不同因子,許可權申請中提供因子的說明請參見下表。因子名
說明
@fac.env_type
環境類型,值為環境標識,如
DEV
、PRODUCT
。更多環境類型請參見執行個體環境說明。@fac.schema_name
資料庫名稱。
@fac.perm_apply_duration
許可權申請期限(單位:小時)。
@fac.column_security_level
欄位安全等級。
敏感:sensitive
機密:confidential
內部:inner
@fac.perm_type
申請許可權的權限類別型列表,返回一個字串列表,例如返回['CORRECT','EXPORT']。
權限類別型枚舉:
查詢:QUERY
匯出:EXPORT
變更:CORRECT
登入:LOGIN
效能查看:PERF
@fac.perm_type通常結合@fun.listEqualIgnoreOrder一起使用,判斷許可權申請工單申請的權限類別型,例如@fun.listEqualIgnoreOrder(@fac.perm_type, ['QUERY']),判斷是否僅申請了查詢許可權。
動作:動作是滿足if條件之後系統執行的行為,例如:禁止提交申請工單、選擇工作流程、允許執行、拒絕執行等,這些動作表達了安全規則的主要目的。動作全部以
@act.
開頭,後接動作名稱。每個模組的不同檢測點均提供不同動作,許可權申請中提供動作的說明請參見下表。動作名
說明
@act.forbid_submit_order
禁止提交申請工單。
@act.do_not_approve
指定審批模板ID。詳情請參見設定審批次程序。
@act.choose_approve_template
@act.choose_approve_template_with_reason
模板庫
安全規則提供了大量的規則模板可直接選擇啟用,也可以在模板基礎上按照實際需求自行調整啟用。許可權申請中的模板如下所示。
檢測點 | 模板 |
Owner申請校正 | 禁止申請生產庫的Owner。 |
禁止Owner申請。 | |
設定測試庫的Owner申請免批。 | |
庫許可權申請校正 | 禁止庫許可權申請。 |
禁止申請生產庫的庫許可權。 | |
設定測試庫的庫許可權申請免批。 | |
表許可權申請校正 | 禁止表許可權申請。 |
禁止申請生產庫的表許可權。 | |
設定測試庫的表許可權申請免批。 | |
可程式化對象校正 | 禁止可程式化對象許可權申請。 |
禁止申請生產庫的可程式化對象許可權。 | |
設定測試庫的可程式化對象許可權申請免批。 | |
敏感欄位申請校正 | 禁止敏感欄位申請。 |
設定機密欄位申請審批次程序。 | |
行許可權申請校正 | 禁止行許可權申請。 |
禁止申請生產庫的行許可權。 | |
設定行許可權申請審批次程序。 |
新增規則操作步驟
- 登入Data Management 5.0。
單擊控制台左上方的表徵圖,選擇
。說明若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇
。在安全規則頁簽中,單擊目標規則集右側操作列中的編輯。
在詳情頁面左側的導覽列中,單擊許可權申請。
在許可權申請頁簽中,單擊操作右側的新增規則。
在新增規則 - 許可權申請對話方塊中,設定如下參數:
單擊提交。
新增的規則預設處於已禁用狀態,單擊規則右側操作列中的啟用。
在彈出的對話方塊中單擊確認。