资源权限策略 - 数据管理 DMS

DMS权限策略功能可以帮助您对DMS功能以及托管在DMS的数据资源进行细粒度的管控。通过定义权限策略，您可以更精确地为不同粒度的数据资源（例如实例、数据库等）设置查询和变更等权限，给DMS功能模块设置是否允许进行某些指定操作等权限。

功能说明

数据资源权限管控
您可以通过权限策略、原有的权限体系两种方式，为不同粒度的数据资源（例如实例、数据库、逻辑库、数据表等）设置访问权限，包括查询和变更权限。
功能权限管控
您可以通过权限策略设置DMS功能模块的操作权限，包括是否允许创建和查看其子功能模块等操作。

注意事项

该功能处于灰度上线阶段。

权限策略与权限模板的功能差异

对比项	权限策略	权限模板
可管理的对象	数据资源和DMS功能	数据资源
支持管理数据资源的范围	范围较广，包含实例、物理库、逻辑库和表等数据资源。	范围小，仅包括实例、数据库和表。
支持授权的对象范围	用户和角色	用户

鉴权说明

DMS权限策略和原有权限体系是相互补充的关系。

例如，权限策略中设置A用户具有dmstest_db数据库的查询权限，而通过权限管理体系给A用户分配了dmstest_db的变更权限，则A用户具有dmstest_db数据库的查询和变更权限。

数据资源鉴权流程

前提条件

具有使用权限策略管理功能的权限。如果您没有该功能的使用权限，请联系管理员为您添加管理员系统角色。具体操作，请参见编辑用户信息。

说明

默认管理员角色有权限策略的相关权限。

步骤一：创建权限策略

登录数据管理DMS 5.0。
单击控制台左上角的图标，选择全部功能 > 安全与规范 > 权限中心 > 权限策略。
说明
若您使用的是非极简模式的控制台，在顶部菜单栏中，选择安全与规范 > 权限中心 > 权限策略。
单击创建权限策略，在创建策略页面填写基本信息和备注。
配置策略内容。
说明
配置完成一个策略后，您可以单击页面下方的添加策略，继续添加多个数据和功能资源策略。
数据资源
1. 选择效果。
  效果选择允许，表示已授权人员可访问和使用策略中定义的数据资源及相关功能。相反，选择不允许则表示禁止被授权人员访问和使用策略中定义的资源和功能。
2. 在资源类型 > 数据页签下，选择需要管控的资源，包含实例、数据库、逻辑库等。
  说明
  支持的数据资源类型以控制台界面显示为准。
3. 在操作区域选择操作类型，包含读操作和写操作。
  全部操作包含读操作和写操作；指定操作可以根据需求进行选择读或写操作，选择完成后，请单击，添加到已选择操作区域。
4. 在资源区域选择管控的资源，包含全部资源和指定资源。
  如果您选择指定资源，则需要单击右下角的添加资源。
5. （可选）配置权限策略的限制条件。
  在条件区域，单击添加条件，在添加条件对话框中配置条件键、运算符等相关信息。
  说明
  此处的添加条件信息是基于您选择的资源类型和操作，提供相应的参数供您配置。
  条件键配置示例：
  - 选择数据库类型
    例如，运算符选择StringEqualsIgnoreCase（字符串相等，忽略大小写）、条件值选择MySQL，则表示权限策略的生效条件包括限制数据库类型为MySQL。
  - 选择时间
    例如，运算符选择DateGreaterThan（日期大于）、条件值选择2024-09-19 05:00，则表示权限策略的生效时间为2024-09-19 05:00之后。
功能使用
1. 选择效果。
  效果选择允许，表示已授权人员可访问和使用策略中定义的数据资源及相关功能。相反，选择不允许则表示禁止被授权人员访问和使用策略中定义的资源和功能。
2. 在资源类型 > 功能页签下，选择需要管控的功能，例如数据导出工单、用户管理、角色管理、敏感数据保护等功能。
3. 在操作区域选择操作类型。
  指定操作可以根据需求进行选择读或写操作，选择完成后，请单击，添加到已选择操作区域。
4. 在资源区域选择管控的资源，包含全部资源和指定资源。
  如果您选择指定资源，则需要单击右下角的添加资源，添加资源。
5. （可选）配置权限策略的限制条件。
  在条件区域，单击添加条件，在添加条件对话框中配置条件键、运算符等相关信息。
  说明
  此处的添加条件信息是基于您选择的资源类型和操作，提供相应的参数供您配置。
  例如资源类型选择数据导出工单，条件键选择实例环境类型的配置示例及含义：
  例如，运算符选择StringEqualsIgnoreCase（字符串相等，忽略大小写）、条件值选择dev，则表示该权限策略的生效条件为开发环境（dev）的数据库。
单击页面左下角的确认，生成权限策略。