將DMS整合至企業開發平台 - Data Management

本文為您介紹如何將Data Management整合至企業或組織內部的開發平台中。

使用流程概覽

身份認證
使用阿里雲統一身份認證服務登入Data Management，在使用DMS之前您需要準備企業或組織訪問DMS的阿里雲RAM帳號。
初始化DMS
將DMS整合至企業開發平台
錄入資料庫執行個體
錄入資料庫執行個體至DMS後，您才可以使用DMS功能對資料庫進行管理。

步驟一：身份認證

阿里雲身份認證

若企業或組織已在阿里雲建立完整的RAM帳號體系，則可忽略身份認證步驟。

新增RAM使用者，請參見建立RAM使用者。

自建身份體系

若企業或組織已有內部自建的身份認證體系，且未與阿里雲對接，建議您使用IDaaS對接阿里雲RAM賬戶體系。

通過IDaaS對接阿里雲RAM賬戶體系時，企業將作為身份提供方（IdP）。圖示如下：

建立IDaaS EIAM執行個體。
登入阿里雲IDaaS控制台，開通執行個體。具體操作，請參見免費開通執行個體。
綁定IDaaS的身份提供方。
綁定後可以通過對應的身份提供方登入到IDaaS中的應用，例如通過DingTalk登入阿里雲SSO。此外，還可以將原有賬戶體系內的賬戶同步至IDaaS。具體操作，請參見身份提供方。
建立IDaaS賬戶。
您可通過手動建立或調用OpenAPI建立帳號。具體操作，請參見建立賬戶和CreateUser - 建立一個EIAM賬戶。
說明
若您已通過步驟2將企業內部帳號同步至IDaaS，則可忽略該步驟。
建立應用。
應用是IDaaS中承載業務應用、系統、服務的載體。本文以角色SSO和使用者SSO舉例，為您展示如何添加應用：
- 建立阿里雲使用者SSO應用
  具體操作，請參見建立應用。
  說明
  若已開啟使用者SSO功能，請務必先儲存現有的中繼資料文檔，避免被覆蓋之後無法復原。同時，綁定了新的中繼資料文檔後，該RAM帳號原有的使用者SSO登入設定將失效。
  成功建立應用後，您可以使用帳號同步功能將IDaaS帳號同步至RAM，省去手動建立的步驟。更多資訊，請參見賬戶資料同步。
- 建立阿里雲角色SSO應用
  若使用角色SSO，則無需建立多個RAM使用者，其他使用者可以使用RAM角色登入阿里雲。具體操作，請參見阿里雲角色SSO。
通過IDaaS登入應用。
具體操作，請參見首次單點登入。
當管理員在完成使用者SSO的相關配置後，企業員工Alice登入到阿里雲的操作流程圖如下。更多資訊，請參見使用者SSO概覽。

步驟二：初始化Data Management

當管理員完成與阿里雲身份認證體系的對接後，企業使用者即可使用阿里雲帳號（包含主帳號、RAM使用者和RAM角色）登入DMS。使用者首次登入DMS時，DMS會將登入的使用者佈建為DMS管理員，其餘登入使用者將會被初始化為普通使用者。

瞭解使用者在DMS的系統角色

DMS提供了5種系統角色，包括普通使用者、安全性系統管理員、DBA、管理員和結構唯讀。

不同的系統角色具有不同的許可權，您可根據各角色適用的群體及支援使用的功能，授予使用者DMS系統角色。詳細資料，請參見系統角色。

錄入使用者

如下為您介紹將企業內的員工添加到DMS的兩種方式：

自動錄入

若您使用阿里雲帳號（主帳號）登入、初始化DMS，DMS會自動將該主帳號下的所有RAM使用者同步至DMS。
若您使用阿里雲RAM使用者登入、初始化DMS，則無法自動同步其他帳號至DMS。如需使用自動同步功能，請您手動將阿里雲帳號（主帳號）添加至DMS，後續DMS會自動添加該主帳號下的所有子帳號至DMS。

說明

該同步操作由DMS全域配置項（預設開啟）控制。配置項資訊，請參見組態管理。

手動錄入

登入Data Management 5.0。
單擊控制台左上方的表徵圖，選擇全部功能 > 營運管理 > 使用者管理。
說明
若您使用的是非極簡模式的控制台，在頂部功能表列中，選擇營運管理 > 使用者管理。
添加使用者。
- 手動添加任意使用者
  單擊新增，填入待添加使用者的阿里雲帳號UID、為使用者佈建系統角色，再單擊確認。
- 手動添加當前阿里雲帳號下的RAM使用者
  單擊同步子帳號，選中需要同步的使用者，再單擊添加選中使用者。使用者添加完成後，您可以為使用者佈建系統角色。更多系統角色操作，請參見編輯使用者資訊。

步驟三：將DMS整合至企業開發平台

在完成阿里雲身份認證體系對接後，您可以通過企業IdP登入DMS。此外，如果您需要將DMS整合進企業開發平台中，有如下兩種方式供您選擇。

頁面整合

構建DMS頁面的連結。
構建連結時，可以指定跳轉至具體的功能頁面。連結格式為如下：
```
https://dms.aliyun.com/new#to={MENU_NAME}
```
例如資料變更頁面的跳轉連結為https://dms.aliyun.com/new#to=DC_COMMON。
MENU_NAME為功能所對應的索引值，各個功能的MENU_NAME如下：
- 普通資料變更：DC_COMMON
- 資料匯入：DC_BIG_FILE
- 無鎖變更：DC_CHUNK
- 可程式化對象：DC_PROC
- 歷史資料清理：DC_CRON_CLEAR
- 測試資料構建：menus_order_data_generate
- SQL結果集匯出：DATA_EXPORT
- 資料庫匯出：DB_EXPORT
- 我的許可權：menus_order_my_auth
除上述說明外，還存在如下特殊情況：
- 跳轉工單詳情頁連結：https://dms.aliyun.com/?pid={ORDER_ID}。其中ORDER_ID為工單號，可通過OpenAPI或DMS控制台擷取。
- 跳轉SQL視窗功能頁面連結：https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}&insertSql={INSERT_SQL}。
  - DB_ID：資料庫ID，整數類型。
  - IS_LOGIC：是否為邏輯庫，true或false。
  - DB_TYPE：資料庫類型，您可通過OpenAPI GetPhysicalDatabase擷取相應的資料庫以及DbType。
  - INSTANCE_ID：執行個體ID，您可通過OpenAPI GetPhysicalDatabase擷取相應的資料庫及InstanceId。
  - INSERT_SQL：經過URL轉義後的查詢SQL，跳轉至SQL視窗時，查詢SQL會自動填入至執列區域。如果無需填入，則不傳入insertSql欄位。
構建免登訪問DMS的連結，並將其嵌入內部系統中。
使用構建的DMS功能頁面連結替換掉免登訪問DMS的地址https://dms.aliyun.com。具體構建操作，請參見免登訪問DMS控制台。

OpenAPI整合

阿里雲身份認證體系和自建身份體系認證都可以使用OpenAPI整合。

編寫代碼，通過調用DMS的OpenAPI，完成錄入使用者、資源錄入等相關操作。DMS支援的API列表，請參見API概覽。

步驟四：錄入資料庫執行個體

瞭解管控模式

錄入DMS的每一個資料庫執行個體都需要設定一種管控模式，管控模式有自由操作、穩定變更和安全協同，各個管控模式適用於不同的情境，支援的功能也各不相同。更多管控模式資訊，請參見管控模式。

錄入執行個體

瞭解DMS支援的資料庫

詳細資料，請參見DMS支援的資料庫。

添加IP白名單

為確保DMS能夠正常訪問您的資料庫執行個體，您需要在資料庫執行個體的安全設定（防火牆、白名單、安全性群組等）中添加對應地區的DMS的IP地址。DMS白名單列表，請參見添加DMS IP位址區段。

錄入的操作步驟

將資料庫執行個體錄入至DMS，具體操作，請見雲資料庫錄入和他雲或自建資料庫錄入。

錄入的API介面，請參見AddInstance - 錄入資料庫執行個體。

其他動作

將DMS整合至企業或組織的開發平台，且在執行個體資源錄入DMS後，您可以在DMS進行存取控制、設定審批次程序、設定訊息通知方式等操作。

存取控制

存取控制是指對託管在DMS的執行個體、資料庫、表等資源進行許可權管理，可按需給授權對象登入、查詢、匯出、變更等權限類別型，從而保障企業資料安全。更多資訊，請參見存取控制許可權概述。

權限類別型

DMS中對於資料的存取權限有如下三種：

查詢許可權：指在SQL視窗執行查詢SQL的許可權。
變更許可權：指擁有在SQL視窗執行變更語句的許可權（SQL視窗執行變更語句還受管理員配置的安全規則約束）；擁有提交資料變更、庫表同步工單的許可權（非直接變更）。
匯出許可權：指擁有提交資料匯出工單的許可權（非直接匯出）。

說明

不同資源層級的許可權具有繼承關係，例如使用者被授予執行個體層級的查詢許可權，則對該執行個體下所有庫、表均具有相應的查詢許可權。
DMS出於系統安全的考量，不允許使用者在SQL視窗查詢大量資料。當需要查詢的資料量超出一定限制時，將無法查詢資料，例如自由操作執行個體每次最多允許查詢3000條資料。若需要查詢完整資料，則可以先申請匯出許可權，再提交資料匯出工單查詢資料。
若您為執行個體開啟了Sensitive Data Discovery and Protection功能，且為部分欄位設定了敏感等級，您還可以管理敏感欄位的相關許可權。更多資訊，請參見Sensitive Data Discovery and Protection概覽和管理存取控制許可權。

資源角色

DMS提供了四種資源角色，分為執行個體DBA、執行個體Owner、資料庫Owner和表Owner，各個角色所支援的功能和許可權各不相同。更多資訊，請參見資源角色。

授權方式

DMS支援兩種擷取許可權的方式，分別為許可權管理者主動給需求方授權、需求方主動申請許可權。

主動授權
管理員、DBA可以通過資源管理頁面或使用者管理頁面為使用者授予許可權。例如為多個使用者授予同一資源許可權，或為多個使用者授予多個資源的許可權。具體操作，請參見管理存取控制許可權。
如果管理員需要同時為多個使用者授予資源的許可權，可以使用權限範本對具有相同業務屬性的資源進行統一管理。具體操作，請參見建立權限範本。
申請許可權
DMS中的使用者可以通過提交工單的方式申請許可權。具體操作，請參見管理存取控制許可權。

審批次程序

DMS工單系統中內建了審批能力，僅當工單審批之後才能進行相關資料庫操作。

自訂審批次程序

DMS中通過審批模板來定義審批流，一個審批模板中可包含多個審批節點，一個審批節點中可包含多個審批人。

審批通過
當流程中所有的審批節點都通過時，整個審批次程序結束，工單會進入下一個環節。
審批拒絕或撤銷
當審批節點的審批人執行拒絕操作或工單建立者執行撤銷操作，則審批流結束，工單未通過審批。

說明

僅當執行個體管控模式為安全協同時，才可以自訂審批次程序。其他模式執行個體僅支援使用DMS內建的審批次程序。更多資訊，請參見自訂工單審批次程序。

審批操作

DMS支援的審批操作如下：

同意：審批人同意申請，進入下一審批節點。
拒絕：審批人拒絕申請，工單審批流終止，您需要重新提交資料庫工單。
撤銷：審批流發起人終止審批流。
轉交：當前審批人將審批權轉交給其他使用者。
加簽：分為前加簽和後加簽，在當前審批節點前或後添加一個審批節點（審批人）。

其他配置

若您需要增加越權審批使用者，即給本不具備審批指定或全部類型工單許可權的使用者增加允許參與審批工單許可權，則可以在組態管理功能頁面中進行操作。具體操作，請參見組態管理。

增加越權配置後，滿足越權審批條件的使用者或角色將可以執行同意、拒絕、加簽或撤銷操作，其他情況下保持不變。

訊息通知

DMS預設全面開啟多種工單類型、任務流的不同狀態訊息通知功能，支援自訂接收對象，可實現訊息通知的按需、有效觸達。支援的通知方式包含手機簡訊、郵件、DingTalk、飛書、專屬釘、DingTalk機器人和Webhook等。

配置個人訊息通知方式，根據業務需求填寫通知方式所需的手機號、驗證碼等資訊。具體步驟，請參見配置個人資訊及通知方式。
配置需要通知的工單類型，以及觸發條件，例如審批通過、工單執行完成等。更多資訊，請參見訊息通知管理。