本文由簡體中文內容自動轉碼而成。阿里雲不保證此自動轉碼的準確性、完整性及時效性。本文内容請以簡體中文版本為準。
首頁Data Management操作指南安全與規範許可權權限原則
搜尋幫助內容

權限原則

更新時間:2025-01-15 19:17
社區

DMS權限原則功能可以協助您對DMS功能以及託管在DMS的資料資源進行細粒度的管控。通過定義權限原則,您可以更精確地為不同粒度的資料資源(例如執行個體、資料庫等)設定查詢和變更等許可權,並為DMS功能模組設定是否允許進行某些指定操作等許可權。

功能說明

  • 資料資源許可權管控

    您可以通過權限原則、原有的許可權體系兩種方式,為不同粒度的資料資源(例如執行個體、資料庫、邏輯庫、資料表等)設定存取權限,包括查詢和變更許可權。

  • 功能許可權管控

    您可以通過權限原則設定DMS功能模組的操作許可權,包括是否允許建立和查看其子功能模組等操作。

注意事項

該功能處於灰階上線階段。

權限原則與權限範本的功能差異

對比項

權限原則

權限範本

對比項

權限原則

權限範本

可管理的對象

資料資源和DMS功能

資料資源

支援管理資料資源的範圍

範圍較廣,包含執行個體、物理庫、邏輯庫和表等資料資源。

範圍小,僅包括執行個體、資料庫和表。

支援授權的物件範圍

使用者和角色

使用者

鑒權說明

DMS權限原則和原有許可權體系是相互補充的關係。

例如,權限原則中設定A使用者具有dmstest_db資料庫的查詢許可權,而通過許可權管理體系給A使用者指派了dmstest_db的變更許可權,則A使用者具有dmstest_db資料庫的查詢和變更許可權。

資料資源鑒權流程

前提條件

具有使用權限原則管理功能的許可權。如果您沒有該功能的使用許可權,請聯絡管理員為您添加管理員系統角色。具體操作,請參見編輯使用者資訊

說明

預設管理員角色有權限原則的相關許可權。

步驟一:建立並配置權限原則

  1. 登入Data Management 5.0

  2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 許可權中心 > 權限原則

    說明

    • 若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 許可權中心 > 權限原則

    • 該功能處於灰階上線階段。

  3. 單擊建立權限原則,在建立策略頁面填寫基本資料備忘

  4. 配置策略內容。

    說明

    配置完成一個策略後,您可以單擊頁面下方的添加策略,繼續添加多個資料和功能資源策略。

    資料資源
    功能使用

    1. 選擇效果

      效果選擇允許,表示已授權人員可訪問和使用原則中定義的資料資源及相關功能。相反,選擇不允許則表示禁止被授權人員訪問和使用原則中定義的資源和功能。

    2. 資源類型 > 資料頁簽下,選擇需要管控的資源,包含執行個體資料庫邏輯庫等。

      說明

      支援的資料資源類型以控制台介面顯示為準。

    3. 操作地區選取項目操作類型,包含讀操作(查詢資源許可權)和寫操作(變更資源許可權)。

      全部操作包含讀操作寫操作;指定操作可以根據需求選擇讀或寫操作,選擇完成後,請單擊image,添加到已選擇操作地區。

      image

    4. 資源地區選取項目管控的資源,包含全部資源指定資源

      如果您選擇指定資源,則需要單擊右下角的添加資源

      image

    5. (可選)配置權限原則的限制條件。

      條件地區,單擊添加條件,在添加條件對話方塊中配置條件鍵運算子等相關資訊。

      說明

      此處的添加條件資訊是基於您選擇的資源類型和操作,提供相應的參數供您配置。

      條件鍵配置樣本:

      • 選擇資料庫類型

        例如,運算子選擇StringEqualsIgnoreCase(字串相等,忽略大小寫)、條件值選擇MySQL,則表示權限原則的生效條件包括限制資料庫類型為MySQL。

      • 選擇時間

        例如,運算子選擇DateGreaterThan(日期大於)條件值選擇2024-09-19 05:00,則表示權限原則的生效時間為2024-09-19 05:00之後。

    1. 選擇效果

      效果選擇允許,表示已授權人員可訪問和使用原則中定義的資料資源及相關功能。相反,選擇不允許則表示禁止被授權人員訪問和使用原則中定義的資源和功能。

    2. 資源類型 > 功能頁簽下,選擇需要管控的功能,例如資料匯出工單、使用者管理、角色管理、Sensitive Data Discovery and Protection等功能。

    3. 操作地區選取項目操作類型。

      指定操作可以根據需求進行選擇讀或寫操作,選擇完成後,請單擊image,添加到已選擇操作地區。

    4. 資源地區選取項目管控的資源,包含全部資源指定資源

      如果您選擇指定資源,則需要單擊右下角的添加資源,添加資源。

      image

    5. (可選)配置權限原則的限制條件。

      條件地區,單擊添加條件,在添加條件對話方塊中配置條件鍵運算子等相關資訊。

      說明

      此處的添加條件資訊是基於您選擇的資源類型和操作,提供相應的參數供您配置。

      例如資源類型選擇資料匯出工單條件鍵選擇執行個體環境類型的配置樣本及含義:

      例如,運算子選擇StringEqualsIgnoreCase(字串相等,忽略大小寫)條件值選擇dev,則表示該權限原則的生效條件為開發環境(dev)的資料庫。

  5. 單擊頁面左下角的確認,產生權限原則。

步驟二:授予使用者權限原則

  1. 在權限原則列表頁面,單擊目標策略名稱稱右側的授權

  2. 新增授權對話方塊中,選擇需要授權的使用者角色(可多選)。

    角色指自訂的角色,擁有該角色的使用者受權限原則限制。

  3. 單擊確認

系統管理權限策略

您可在權限原則列表頁面,修改刪除類似建立該策略。

image

許可權診斷

說明

目前DMS僅支援查看資料資源的許可權診斷。

DMS通過許可權診斷功能,可以對使用者訪問的資料資源進行許可權溯源。通過如下兩種方式可進行許可權診斷:

通過動作記錄查看
通過SQL視窗查看

  1. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範(DBS) > Action Trail

    說明

    若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範(DBS) > Action Trail

  2. 動作記錄頁簽下,篩選出在SQL視窗的動作記錄。

  3. 單擊日誌右側的許可權診斷

    image

  1. 在左側資料庫執行個體列表中,找到並雙擊目標資料庫,進入SQL視窗。

  2. 在頁面上方我的許可權地區,選擇目標權限類別型,再單擊許可權診斷

    image

  3. 單擊許可權診斷,查看鑒權診斷流程。

    image

上一篇:建立權限範本下一篇:安全規則
  • 本頁導讀 (1, M)
  • 功能說明
  • 注意事項
  • 權限原則與權限範本的功能差異
  • 鑒權說明
  • 資料資源鑒權流程
  • 前提條件
  • 步驟一:建立並配置權限原則
  • 步驟二:授予使用者權限原則
  • 系統管理權限策略
  • 許可權診斷
文檔反饋