安全託管和安全協同存在哪些功能差異?
核心功能 | 安全託管 | 安全協同 |
核心功能 | 安全託管 | 安全協同 |
免密登入執行個體 | ✔️ | ✔️ |
細粒度、全生命週期的許可權管理 | ✔️ | ✔️ |
表結構設計 | ❌ | ✔️ |
安全規則 (精細化的操作規範和研發流程管控) | ❌ | ✔️ |
自訂工單審批次程序 | ❌ | ✔️ |
SQL審核最佳化建議 | 支援提醒SQL中存在待最佳化或改進點。 | 根據安全規則中的審核最佳化建議,對提交的SQL語句進行正常化審核並提出最佳化建議。若有必須改進的行為,則DMS強制攔截繼續執行。 |
Action Trail | 可查看1天的資料庫動作記錄。 | 可查看3年內的資料庫動作記錄。 |
執行個體開啟安全託管前後有什麼不同?
開啟託管前:所有登入執行個體的使用者都需要知道資料庫帳號和密碼;如果需要進行許可權管控,需要為不同的資料庫帳號分配和管理不同許可權。
開啟託管後:使用者無需接觸資料庫帳號和密碼也可以登入執行個體;可實現執行個體、庫、表和行等粒度的許可權管控。
更多資訊,請參見安全託管。
如果不需要細粒度的許可權管控,只想使用安全託管的免登入能力,該如何操作?
系統角色為管理員、DBA和執行個體Owner的使用者,無需額外申請許可權即可使用免登入執行個體能力。對於其他角色的使用者,可以主動申請或由管理員、DBA和執行個體Owner授予執行個體許可權。具體操作,請參見通過工單申請許可權和管理員、DBA給普通使用者授權。
執行個體開啟安全託管後,還需要給使用者授予執行個體的登入許可權嗎?
管理員、DBA和執行個體Owner可直接使用執行個體;普通使用者需要根據使用情境申請資源的查詢、匯出和變更許可權。
開啟安全託管的執行個體,可申請哪些許可權?
可申請查詢、匯出和變更許可權。
查詢許可權:指在SQL視窗執行查詢語句的許可權。
匯出許可權:指提交資料匯出工單的許可權(非直接匯出)。
變更許可權:指在SQL視窗執行變更語句的許可權(SQL視窗執行變更語句受管理員配置約束);擁有提交資料變更、庫表同步工單的許可權(非直接變更)。
提交工單申請許可權時,許可權的審批人是誰?
對於非安全協同執行個體,審批人固定為資源Owner(如果沒有Owner,則為執行個體DBA);對於安全協同執行個體,您可以在提交工單前在安全規則中指定審批人。具體操作,請參見自訂工單審批次程序。
如何查看許可權操作記錄?
DMS的動作記錄可記錄申請許可權、授權、回收許可權等操作,管理員和DBA可使用動作記錄功能查詢許可權的操作記錄。具體操作,請參見Action Trail。
是否可以設定許可權有效期間?
可以,設定許可權有效期間後,許可權到期將自動回收。管理員、DBA或執行個體Owner也可以主動回收其他使用者的資源許可權。
如何通過敏感列許可權對敏感性資料進行管控?
如果執行個體開啟了Sensitive Data Discovery and Protection,可以結合安全託管的敏感列許可權對欄位進行管控,系統將自動對敏感性資料進行分類分級,且只允許有對應許可權的使用者查看敏感欄位。更多資訊,請參見Sensitive Data Discovery and Protection概覽。
域帳號可以實現細粒度許可權管控嗎?
可以,首先將域帳號接入DMS,再實現細粒度許可權管控。更多資訊,請參見使用域帳號登入DMS和管理存取控制許可權。
安全託管功能收費嗎?
安全託管功能可免費使用。
