安全托管和安全协同存在哪些功能差异?
核心功能 | 安全托管 | 安全协同 |
免密登录实例 | ✔️ | ✔️ |
细粒度、全生命周期的权限管理 | ✔️ | ✔️ |
表结构设计 | ❌ | ✔️ |
安全规则 (精细化的操作规范和研发流程管控) | ❌ | ✔️ |
自定义工单审批流程 | ❌ | ✔️ |
SQL审核优化建议 | 支持提醒SQL中存在待优化或改进点。 | 根据安全规则中的审核优化建议,对提交的SQL语句进行规范化审核并提出优化建议。若有必须改进的行为,则DMS强制拦截继续执行。 |
操作审计 | 可查看1天的数据库操作日志。 | 可查看3年内的数据库操作日志。 |
实例开启安全托管前后有什么不同?
开启托管前:所有登录实例的用户都需要知道数据库账号和密码;如果需要进行权限管控,需要为不同的数据库账号分配和管理不同权限。
开启托管后:用户无需接触数据库账号和密码也可以登录实例;可实现实例、库、表和行等粒度的权限管控。
更多信息,请参见安全托管。
如果不需要细粒度的权限管控,只想使用安全托管的免登录能力,该如何操作?
系统角色为管理员、DBA和实例Owner的用户,无需额外申请权限即可使用免登录实例能力。对于其他角色的用户,可以主动申请或由管理员、DBA和实例Owner授予实例权限。具体操作,请参见通过工单申请权限和管理员、DBA给普通用户授权。
实例开启安全托管后,还需要给用户授予实例的登录权限吗?
管理员、DBA和实例Owner可直接使用实例;普通用户需要根据使用场景申请资源的查询、导出和变更权限。
开启安全托管的实例,可申请哪些权限?
可申请查询、导出和变更权限。
查询权限:指在SQL窗口执行查询语句的权限。
导出权限:指提交数据导出工单的权限(非直接导出)。
变更权限:指在SQL窗口执行变更语句的权限(SQL窗口执行变更语句受管理员配置约束);拥有提交数据变更、库表同步工单的权限(非直接变更)。
提交工单申请权限时,权限的审批人是谁?
对于非安全协同实例,审批人固定为资源Owner(如果没有Owner,则为实例DBA);对于安全协同实例,您可以在提交工单前在安全规则中指定审批人。具体操作,请参见自定义工单审批流程。
如何查看权限操作记录?
DMS的操作日志可记录申请权限、授权、回收权限等操作,管理员和DBA可使用操作日志功能查询权限的操作记录。具体操作,请参见操作审计。
是否可以设置权限有效期?
可以,设置权限有效期后,权限到期将自动回收。管理员、DBA或实例Owner也可以主动回收其他用户的资源权限。
如何通过敏感列权限对敏感数据进行管控?
如果实例开启了敏感数据保护,可以结合安全托管的敏感列权限对字段进行管控,系统将自动对敏感数据进行分类分级,且只允许有对应权限的用户查看敏感字段。更多信息,请参见敏感数据保护概览。
域账号可以实现细粒度权限管控吗?
可以,首先将域账号接入DMS,再实现细粒度权限管控。更多信息,请参见使用域账号登录DMS和管理访问控制权限。
安全托管功能收费吗?
安全托管功能可免费使用。