Data Management:Kontrol akses tingkat baris

Informasi latar belakang

Dalam mengamankan data, terdapat dua pendekatan utama: perlindungan data vertikal dan horizontal.

• Perlindungan data vertikal: Diimplementasikan melalui perlindungan data tingkat bidang.

  Dengan mengklasifikasikan bidang berdasarkan tingkat sensitivitasnya, Anda dapat menerapkan penyembunyian penuh atau sebagian pada data sensitif. Untuk informasi selengkapnya, lihat Kelola data sensitif.

  Misalnya, karyawan yang bertanggung jawab atas analisis statistik tidak dapat melihat alamat email pelanggan dalam tabel pesanan.

  

• Perlindungan data horizontal: Diimplementasikan melalui kontrol akses tingkat baris.

  Baris difilter berdasarkan satu atau beberapa nilai tertentu (nilai kontrol), sehingga Anda dapat mengontrol akses ke data tingkat baris.

  Misalnya, karyawan bisnis dengan banyak lokasi hanya dapat melihat data pesanan dari toko yang ditugaskan kepadanya, bukan dari semua lokasi.

  

Batasan

• Fitur ini hanya tersedia untuk database relasional, seperti MySQL dan PolarDB.

• Fitur ini hanya tersedia untuk instans dalam mode kontrol Security Collaboration.

• Fitur ini hanya mendukung database fisik dan belum mendukung database logis.

• Untuk pengguna tanpa izin all-row, batasan berikut berlaku pada kondisi filter saat mereka melakukan kueri, memodifikasi, atau menghapus data dalam tabel dengan kontrol akses tingkat baris:

  • Anda harus menentukan nilai filter untuk bidang kontrol, dan nilai-nilai tersebut harus berada dalam daftar nilai kontrol.

  • Kondisi filter dibatasi. Misalnya:

    • Klausa WHERE hanya mendukung operator = dan in.

    • Operasi logika seperti OR, XOR, dan NOT tidak didukung.

Konsep utama

• Tabel kontrol, bidang kontrol, dan nilai kontrol

  • Tabel kontrol: Tabel tempat Anda ingin mengonfigurasi kontrol akses tingkat baris.

  • Bidang kontrol: Bidang dalam tabel kontrol yang digunakan untuk memberlakukan kontrol akses tingkat baris.

  • Nilai kontrol: Nilai dari bidang kontrol.

• Izin tingkat baris: Izin yang mengontrol akses ke data tingkat baris berdasarkan nilai bidang kontrol.

  • Izin baris bernilai tunggal: Mengontrol akses berdasarkan satu atau beberapa nilai kontrol tertentu.

  • Izin all-rows: Memberikan akses ke semua baris dalam tabel kontrol.

• Kelompok kontrol: Bidang kontrol yang memiliki kumpulan nilai kontrol yang sama dapat ditambahkan ke kelompok kontrol.

  Misalnya, jika Tabel A dan Tabel B memerlukan kontrol akses tingkat baris berdasarkan nilai kontrol yang sama, Anda dapat menggunakan satu kelompok kontrol untuk mengelola kedua tabel tersebut.

Konfigurasikan kontrol akses tingkat baris

Hanya administrator, DBA, atau administrator keamanan yang dapat melakukan tugas ini. Untuk informasi lebih lanjut tentang peran pengguna, lihat Lihat peran sistem Anda.

1. Masuk ke DMS 5.0.

2. Arahkan penunjuk ke ikon di pojok kiri atas dan pilih All Features > Security and disaster recovery (DBS) > Sensitive Data > Sensitive Data Assets.

   Catatan

   Jika Anda menggunakan Konsol DMS dalam mode normal, pilih Security and disaster recovery (DBS) > Sensitive Data > Sensitive Data Assets di bilah navigasi atas.

3. Di pojok kanan atas halaman, klik Global Sensitive Data untuk membuka halaman daftar data sensitif.

4. Klik tab Row Control.

5. Klik Create Control Group dan beri nama kelompok kontrol tersebut.

6. Tambahkan konfigurasi baris, lalu klik Add.

   1. Klik Add Row Configuration.

   2. Cari dan pilih database target.

   3. Pilih tabel target dan bidang kontrol.

   4. Opsional: Klik Add Row Configuration untuk menambahkan beberapa tabel kontrol yang menggunakan nilai kontrol yang sama.

   Setelah Anda mengonfigurasi kontrol akses tingkat baris, Anda tidak dapat melihat data di tabel target dari SQL Console hingga izin yang diperlukan diberikan kepada Anda. Jika Anda menjalankan kueri tanpa filter baris yang diperlukan, DMS akan mencegat permintaan tersebut dan mengembalikan error. Contohnya:

   SELECT * FROM <code data-tag="code" id="code_522b422a6216">test

   RLS Access Denied: [test]: Anda tidak memiliki izin untuk semua baris dalam tabel ini. Klausul WHERE harus menyertakan kondisi filter [1] pada bidang kontrol: name TraceId: 0a032a1516728214824878812ed7f0

   SELECT * FROM `test` WHERE `name` = 'Xiaohong';
   RLS Access Denied:
   [test]: Akses ke tabel dengan kontrol akses tingkat baris terlibat. Anda tidak memiliki izin untuk mengakses baris: name = Xiaohong. Nilai kontrol 'Xiaohong' tidak ada. Untuk mengakses nilai ini, hubungi administrator, DBA, atau administrator keamanan agar menambahkan nilai tersebut, lalu ajukan izin tingkat baris yang sesuai sebelum mencoba lagi.
   TraceId: 0a032a1d16728216329266611e4b0d

7. Opsional: Untuk memberikan izin pada nilai baris tertentu, Anda harus terlebih dahulu menentukan nilai-nilai tersebut.

   1. Di kolom Actions kelompok kontrol target, klik Details.

   2. Di panel Control Value Details, klik Add Row Value.

   3. Di kotak dialog Import Row Value, pilih apakah akan menambahkan atau mengganti nilai baris yang ada.

      • Yes: Menambahkan nilai baris baru ke nilai yang sudah ada.

      • No: Mengganti semua nilai baris yang ada dengan nilai baru.

   4. Masukkan konten untuk nilai baris tersebut.

      Catatan

      Anda dapat menambahkan beberapa nilai kontrol ke satu nilai baris. Pisahkan nilai kontrol dengan koma (,). Setelah permintaan Anda disetujui, Anda mendapatkan izin untuk melakukan kueri terhadap semua nilai kontrol dalam nilai baris tersebut.

      Misalnya, jika seorang karyawan hanya diizinkan melihat data pelanggan dari Beijing dan Shanghai, Anda dapat memasukkan Beijing, Shanghai sebagai konten nilai baris. Setelah permintaan izin karyawan tersebut untuk nilai baris ini disetujui, ia dapat melihat data pelanggan dari wilayah Beijing dan Shanghai.

Ajukan izin tingkat baris

1. Masuk ke DMS 5.0.

2. Arahkan penunjuk ke ikon di pojok kiri atas dan pilih All Features > Security and disaster recovery (DBS) > Permission Center > Permission Tickets.

   Catatan

   Jika Anda menggunakan Konsol DMS dalam mode normal, pilih Security and disaster recovery (DBS) > Permission Center > Permission Tickets di bilah navigasi atas.

3. Di pojok kanan atas halaman, klik Access apply > Row-Permission.

4. Masukkan nama database.

   Catatan

   Anda dapat menggunakan tanda persen (%) untuk pencarian fuzzy.

5. Pilih cakupan untuk izin tingkat baris.

   • Single: Ajukan izin untuk nilai baris individual.

     Catatan

     • Satu nilai baris dapat berisi beberapa nilai kontrol. Jika Anda memiliki izin untuk suatu nilai baris, Anda dapat melakukan kueri, ekspor, atau modifikasi data yang sesuai dengan semua nilai kontrol yang dikandungnya.

     • Satu nilai kontrol dapat berkorespondensi dengan beberapa baris. Jika Anda memiliki izin untuk suatu nilai kontrol, Anda dapat melakukan kueri, ekspor, atau modifikasi semua baris data yang sesuai dengan nilai tersebut.

   • All: Akses semua baris dalam tabel kontrol.

6. Klik Search.

7. Pilih izin tingkat baris target dan klik ikon .

   Catatan

   Tanda hubung (-) di kolom nilai baris menunjukkan izin untuk semua baris.

8. Pilih Permission type, pilih validity period, dan masukkan Reason untuk pengajuan.

9. Klik Submit.

   Setelah Tiket Anda disetujui, Anda dapat mengkueri, mengekspor, atau memodifikasi data di SQL Console. Misalnya, menjalankan SELECT * FROM <code data-tag="code" id="code_40ef381525a2">order1 WHERE region = 'Beijing'; di SQL Console hanya mengembalikan dua catatan dari tabel order1 untuk Zhangsan dan Xiaoming, dengan wilayah Beijing. Hal ini mengonfirmasi bahwa kontrol akses tingkat baris berfungsi dengan benar.

   Catatan

   Untuk melepas izin tingkat baris:

   • Melepas izin Anda sendiri: Buka bagian View your permissions untuk melihat dan melepas izin Anda. Untuk informasi selengkapnya, lihat View your permissions.

   • Administrator melepas izin: Di halaman O&M > Users, temukan pengguna target dan pilih More > Permission Details di kolom Actions untuk melihat dan melepas izin pengguna tersebut.