在安全規則中,您可以在許可權申請節點中定製關於許可權申請系列的規則,例如執行個體申請許可權、庫申請許可權、表申請許可權等。
背景資訊
新版的安全規則具備非常靈活的能力(DSL),可以根據業務需求自訂風險層級,讓不同對象的許可權申請走不同的審批次程序。例如您可以用不同的形式把控資料庫執行個體的許可權申請,基礎文法請參見安全規則DSL文法。
前提條件
使用者角色為管理員、DBA、安全性系統管理員。
基礎配置項
許可權申請有8個基礎配置項。
- 【執行個體-許可權申請】預設審批模板:當執行個體申請許可權校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。您可以通過切換審批模板來更改預設審批模板的審批次程序。操作流程請參見修改預設審批模板操作步驟。
- 【庫-許可權申請】預設審批模板:當庫許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
- 【表-許可權申請】預設審批模板:當表許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
- 【可程式化對象-許可權申請】預設審批模板:當可程式化對象校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
- 【欄位-許可權申請】預設審批模板:當敏感欄位申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
- 【行-許可權申請】預設審批模板:當行許可權申請校正中未配置不同風險對應的審批次程序時,系統會採用此預設的審批模板。
- 【Owner-申請】預設審批模板(資源無Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且無資料Owner時,系統會採用此預設的審批模板。
- 【Owner-申請】預設審批模板(資源有Owner時):當Owner申請校正中未配置不同風險對應的審批次程序且有資料Owner時,系統會採用此預設的審批模板。
檢測點
當一個許可權申請的工單被提交時,系統會校正該工單是否符合各檢測點的相關規則。只有在全部校正通過的情況下,該工單才會被允許存取。許可權申請中有如下7個檢測點:
- Owner申請校正:設定執行個體-OWNER、表-OWNER、庫-OWNER申請工單的審批次程序或限制條件。
- 執行個體申請許可權校正:設定執行個體-效能、執行個體-登入申請工單的審批次程序或限制條件。
- 庫許可權申請校正:設定庫-許可權申請工單的審批次程序或限制條件。
- 表許可權申請校正:設定表-許可權申請工單的申請流程或限制條件。
- 可程式化對象校正:設定可程式化對象申請工單的審批次程序或限制條件。
- 敏感欄位申請校正:設定敏感列-許可權申請工單的申請流程或限制條件。
- 行許可權申請校正:設定行-許可權申請工單的申請流程或限制條件。
說明 您可以在每個檢測點中使用安全規則模板庫中提供的規則,也可以自訂新增規則。詳情請參見新增規則操作步驟。
因子和動作
因子:因子是系統內建變數,可用來擷取安全規則校正的上下文資訊,如擷取SQL類型、資料庫名稱等。因子全部以
@fac.開頭,後接因子名稱。每個模組的不同檢測點均提供不同因子,許可權申請中提供因子的說明請參見下表。因子名 說明 @fac.env_type 環境類型,值為環境標識,如 DEV、PRODUCT。更多環境類型請參見執行個體環境說明。@fac.schema_name 資料庫名稱。 @fac.perm_apply_duration 許可權申請期限(單位:小時)。 @fac.column_security_level 欄位安全等級。 - 敏感:sensitive
- 機密:confidential
- 內部:inner
@fac.perm_type 申請許可權的權限類別型列表,返回一個字串列表,例如返回['CORRECT','EXPORT']。 權限類別型枚舉:- 查詢:QUERY
- 匯出:EXPORT
- 變更:CORRECT
- 登入:LOGIN
- 效能查看:PERF
@fac.perm_type通常結合@fun.listEqualIgnoreOrder一起使用,判斷許可權申請工單申請的權限類別型,例如@fun.listEqualIgnoreOrder(@fac.perm_type, ['QUERY']),判斷是否僅申請了查詢許可權。
動作:動作是滿足if條件之後系統執行的行為,例如:禁止提交申請工單、選擇工作流程、允許執行、拒絕執行等,這些動作表達了安全規則的主要目的。動作全部以
@act.開頭,後接動作名稱。每個模組的不同檢測點均提供不同動作,許可權申請中提供動作的說明請參見下表。動作名 說明 @act.forbid_submit_order 禁止提交申請工單。 @act.do_not_approve 指定審批模板ID。詳情請參見設定審批次程序。 @act.choose_approve_template @act.choose_approve_template_with_reason
模板庫
安全規則提供了大量的規則模板可直接選擇啟用,也可以在模板基礎上按照實際需求自行調整啟用。許可權申請中的模板如下所示。
| 檢測點 | 模板 |
| Owner申請校正 | 禁止申請生產庫的Owner。 |
| 禁止Owner申請。 | |
| 設定測試庫的Owner申請免批。 | |
| 庫許可權申請校正 | 禁止庫許可權申請。 |
| 禁止申請生產庫的庫許可權。 | |
| 設定測試庫的庫許可權申請免批。 | |
| 表許可權申請校正 | 禁止表許可權申請。 |
| 禁止申請生產庫的表許可權。 | |
| 設定測試庫的表許可權申請免批。 | |
| 可程式化對象校正 | 禁止可程式化對象許可權申請。 |
| 禁止申請生產庫的可程式化對象許可權。 | |
| 設定測試庫的可程式化對象許可權申請免批。 | |
| 敏感欄位申請校正 | 禁止敏感欄位申請。 |
| 設定機密欄位申請審批次程序。 | |
| 行許可權申請校正 | 禁止行許可權申請。 |
| 禁止申請生產庫的行許可權。 | |
| 設定行許可權申請審批次程序。 |
新增規則操作步驟
- 登入Data Management 5.0。
在頂部功能表列中,選擇。
說明若您使用的是極簡模式的控制台,請單擊控制台左上方的
表徵圖,選擇。- 在安全規則頁簽中,單擊目標規則集右側操作列中的編輯。
- 在詳情頁面左側的導覽列中,單擊許可權申請。
- 在許可權申請頁簽中,單擊操作右側的新增規則。
- 在新增規則 - 許可權申請對話方塊中,設定如下參數:
- 單擊提交。
- 新增的規則預設處於已禁用狀態,單擊規則右側操作列中的啟用。
- 在彈出的對話方塊中單擊確認。