全部產品
Search
文件中心

:許可權申請

更新時間:Nov 16, 2024

在安全規則中,您可以在許可權申請節點中定製關於許可權申請系列的規則,例如執行個體申請許可權、庫申請許可權、表申請許可權等。

背景資訊

新版的安全規則具備非常靈活的能力(DSL),可以根據業務需求自訂風險層級,讓不同對象的許可權申請走不同的審批次程序。例如您可以用不同的形式把控資料庫執行個體的許可權申請,基礎文法請參見安全規則DSL文法

前提條件

使用者角色為管理員、DBA、安全性系統管理員。

基礎配置項

許可權申請有8個基礎配置項。

  • 【執行個體-許可權申請】預設審批模板:當執行個體申請許可權校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。您可以通過切換審批模板來更改預設審批模板的審批次程序。操作流程請參見修改預設審批模板操作步驟

  • 【庫-許可權申請】預設審批模板:當庫許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。

  • 【表-許可權申請】預設審批模板:當表許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。

  • 【可程式化對象-許可權申請】預設審批模板:當可程式化對象校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。

  • 【欄位-許可權申請】預設審批模板:當敏感欄位申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。

  • 【行-許可權申請】預設審批模板:當行許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。

  • 【Owner-申請】預設審批模板(資源無Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且無資料Owner時,系統會採用此預設的審批模板。

  • 【Owner-申請】預設審批模板(資源有Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且有資料Owner時,系統會採用此預設的審批模板。

檢測點

當一個許可權申請的工單被提交時,系統會校正該工單是否符合各檢測點的相關規則。只有在全部校正通過的情況下,該工單才會被允許存取。許可權申請中有如下7個檢測點:

  • Owner申請校正:設定執行個體-OWNER表-OWNER庫-OWNER申請工單的審批次程序或限制條件。

  • 執行個體申請許可權校正:設定執行個體-效能執行個體-登入申請工單的審批次程序或限制條件。

  • 庫許可權申請校正:設定庫-許可權申請工單的審批次程序或限制條件。

  • 表許可權申請校正:設定表-許可權申請工單的申請流程或限制條件。

  • 可程式化對象校正:設定可程式化對象申請工單的審批次程序或限制條件。

  • 敏感欄位申請校正:設定敏感列-許可權申請工單的申請流程或限制條件。

  • 行許可權申請校正:設定行-許可權申請工單的申請流程或限制條件。

說明

您可以在每個檢測點中使用安全規則模板庫中提供的規則,也可以自訂新增規則。詳情請參見新增規則操作步驟

因子和動作

  • 因子:因子是系統內建變數,可用來擷取安全規則校正的上下文資訊,如擷取SQL類型、資料庫名稱等。因子全部以@fac.開頭,後接因子名稱。每個模組的不同檢測點均提供不同因子,許可權申請中提供因子的說明請參見下表。

    因子名

    說明

    @fac.env_type

    環境類型,值為環境標識,如DEVPRODUCT。更多環境類型請參見執行個體環境說明

    @fac.schema_name

    資料庫名稱。

    @fac.perm_apply_duration

    許可權申請期限(單位:小時)。

    @fac.column_security_level

    欄位安全等級。

    • 敏感:sensitive

    • 機密:confidential

    • 內部:inner

    @fac.perm_type

    申請許可權的權限類別型列表,返回一個字串列表,例如返回['CORRECT','EXPORT']。

    權限類別型枚舉:

    • 查詢:QUERY

    • 匯出:EXPORT

    • 變更:CORRECT

    • 登入:LOGIN

    • 效能查看:PERF

    @fac.perm_type通常結合@fun.listEqualIgnoreOrder一起使用,判斷許可權申請工單申請的權限類別型,例如@fun.listEqualIgnoreOrder(@fac.perm_type, ['QUERY']),判斷是否僅申請了查詢許可權。

  • 動作:動作是滿足if條件之後系統執行的行為,例如:禁止提交申請工單、選擇工作流程、允許執行、拒絕執行等,這些動作表達了安全規則的主要目的。動作全部以@act.開頭,後接動作名稱。每個模組的不同檢測點均提供不同動作,許可權申請中提供動作的說明請參見下表。

    動作名

    說明

    @act.forbid_submit_order

    禁止提交申請工單。

    @act.do_not_approve

    指定審批模板ID。詳情請參見設定審批次程序

    @act.choose_approve_template

    @act.choose_approve_template_with_reason

模板庫

安全規則提供了大量的規則模板可直接選擇啟用,也可以在模板基礎上按照實際需求自行調整啟用。許可權申請中的模板如下所示。

檢測點

模板

Owner申請校正

禁止申請生產庫的Owner。

禁止Owner申請。

設定測試庫的Owner申請免批。

庫許可權申請校正

禁止庫許可權申請。

禁止申請生產庫的庫許可權。

設定測試庫的庫許可權申請免批。

表許可權申請校正

禁止表許可權申請。

禁止申請生產庫的表許可權。

設定測試庫的表許可權申請免批。

可程式化對象校正

禁止可程式化對象許可權申請。

禁止申請生產庫的可程式化對象許可權。

設定測試庫的可程式化對象許可權申請免批。

敏感欄位申請校正

禁止敏感欄位申請。

設定機密欄位申請審批次程序。

行許可權申請校正

禁止行許可權申請。

禁止申請生產庫的行許可權。

設定行許可權申請審批次程序。

新增規則操作步驟

  1. 登入Data Management 5.0
  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 許可權中心 > 權限範本

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 許可權中心 > 權限範本

  3. 安全規則頁簽中,單擊目標規則集右側操作列中的編輯

  4. 詳情頁面左側的導覽列中,單擊許可權申請

  5. 許可權申請頁簽中,單擊操作右側的新增規則

  6. 新增規則 - 許可權申請對話方塊中,設定如下參數:

    參數

    說明

    檢測點(必選)

    選擇需要增加規則的檢測點。許可權申請中提供了7個檢測點。

    • Owner申請校正

    • 執行個體申請許可權校正

    • 庫許可權申請校正

    • 表許可權申請校正

    • 可程式化對象校正

    • 敏感欄位申請校正

    • 行許可權申請校正

    模板庫(可選)

    安全規則模板庫中提供了大量規則模板,選擇了檢測點以後,您可以從模板庫中按需載入規則模板。可選的模板庫列表請參見模板庫

    規則名稱(必填)

    自訂規則名稱。若您在模板庫中選擇了規則模板,此處會自動填滿。

    規則DSL(必填)

    填寫規則DSL,DSL文法請參見安全規則DSL文法。若您模板庫中選擇了規則模板,此處會自動填滿。

  7. 單擊提交

  8. 新增的規則預設處於已禁用狀態,單擊規則右側操作列中的啟用

  9. 在彈出的對話方塊中單擊確認