Data Management (DMS) menyediakan kontrol akses detail halus terhadap instans database, database, tabel, kolom, baris, dan metadata. Topik ini menjelaskan model izin DMS dan menunjukkan cara mengajukan izin menggunakan tiket.
Kategori izin
DMS mengelompokkan izin ke dalam tiga kategori:
| Kategori | Apa yang dikontrol |
|---|---|
| Izin operasi | Tindakan yang dapat dilakukan pengguna pada resource — logon, kueri, ekspor, dan ubah |
| Izin data (izin pemilik resource) | Kepemilikan suatu resource, termasuk kemampuan untuk memberikan dan mencabut akses |
| Kontrol akses metadata | Visibilitas resource — apakah pengguna yang tidak berwenang dapat melihat atau mengajukan akses |
Izin operasi
Izin operasi mengatur apa yang dapat dilakukan pengguna terhadap suatu resource. Jenis-jenis berikut tersedia:
| Jenis izin | Deskripsi | Diperlukan hosting keamanan |
|---|---|---|
| Izin pada instans database — logon | Log on ke instans database menggunakan akun dan password yang dikelola oleh perusahaan Anda. | Tidak |
| Izin pada instans database — performa | Lihat detail kinerja instansiasi database. Untuk informasi selengkapnya, lihat Lihat detail kinerja instansiasi database. | Ya |
| Izin pada instans database — data | Melakukan kueri, ekspor, dan mengubah data dalam instans database, tidak termasuk kolom sensitif dan baris yang telah diaktifkan kontrol aksesnya. | — |
| Izin pada database | Melakukan kueri, ekspor, dan mengubah data dalam database, tidak termasuk kolom sensitif dan baris yang telah diaktifkan kontrol aksesnya. | — |
| Izin pada tabel | Melakukan kueri, ekspor, dan mengubah data dalam tabel, tidak termasuk kolom sensitif dan baris yang telah diaktifkan kontrol aksesnya. | — |
| Izin pada kolom sensitif | Melakukan kueri, ekspor, dan mengubah data dalam kolom sensitif. Sebelum mengajukan, pastikan fitur perlindungan data sensitif telah diaktifkan dan Anda memiliki izin pada database dan tabel induknya. | — |
| Izin pada baris | Melakukan kueri, ekspor, dan mengubah data dalam baris. Untuk detail konfigurasi, lihat Configure row-level access control. Sebelum mengajukan, pastikan Anda memiliki izin pada database dan tabel induknya. | — |
| Izin pada objek programmable | Melakukan kueri, ekspor, dan mengubah data dalam objek programmable. Untuk informasi selengkapnya, lihat Change programmable objects by using stored routines. | Ya |
Makna kueri, ekspor, dan ubah dalam DMS:
Kueri: menjalankan pernyataan kueri di SQL Console.
Ubah: menjalankan pernyataan ubah di SQL Console serta mengirimkan tiket perubahan data dan tiket sinkronisasi database dan tabel. Ini tidak berarti mengubah data tanpa persetujuan. Administrator DMS dapat membatasi jenis pernyataan yang diizinkan di SQL Console.
Ekspor: mengirimkan tiket ekspor data. Ini tidak berarti mengekspor data tanpa persetujuan.
Izin data (izin pemilik resource)
Izin data memberikan kepemilikan atas suatu resource. Pemilik dapat melihat pengguna mana saja yang memiliki akses, memberikan izin kepada pengguna, mencabut izin dari pengguna, serta melakukan kueri terhadap data resource tersebut (tidak termasuk kolom sensitif dan baris yang telah diaktifkan kontrol aksesnya).
Terdapat tiga peran pemilik: pemilik instans, pemilik database, dan pemilik tabel.
Jika hosting keamanan dinonaktifkan untuk instans database, hanya administrator DMS dan administrator basis data (DBA) yang dapat menambah atau menghapus pemilik instans. Untuk mengelola pemilik instans, klik kanan instans database di bagian kiri Database Instances pada konsol DMS, lalu pilih Instance Owner > Set Owner.
Kontrol akses metadata
Kontrol akses metadata membatasi visibilitas resource:
Kontrol akses instans: hanya pengguna yang berwenang yang dapat melakukan kueri atau mengakses instans database. Pengguna yang tidak berwenang tidak dapat mengajukan akses.
Kontrol akses database: hanya pengguna yang berwenang yang dapat melakukan kueri atau mengakses database. Pengguna yang tidak berwenang tidak dapat mengajukan akses.
Kontrol akses pengguna: pengguna hanya dapat melakukan kueri atau mengakses resource yang sudah dimiliki izinnya. Pengguna tidak dapat mengajukan izin untuk instans database atau database lainnya.
Memiliki jenis izin operasi atau izin data apa pun pada instans database atau database dianggap sebagai memiliki izin pada resource tersebut.
Siapa yang dapat mengelola izin
Tabel berikut menunjukkan apa yang dapat dilakukan setiap peran:
| Tindakan | Pengguna biasa | DBA | Administrator DMS |
|---|---|---|---|
| Mengajukan izin menggunakan tiket | Ya | ||
| Mengelola izin melalui manajemen instans | Ya | Ya | |
| Mengaktifkan kontrol akses metadata untuk instans dan database | Ya | Ya | |
| Memberikan atau mencabut izin pada resource apa pun melalui manajemen pengguna | Ya | ||
| Mengaktifkan kontrol akses untuk pengguna | Ya |
Untuk informasi lebih lanjut mengenai jalur manajemen masing-masing peran:
DBA dan administrator DMS: Manage permissions as a DMS administrator or DBA
Administrator DMS (manajemen pengguna): Manage permissions as a DMS administrator
Mengaktifkan kontrol akses metadata: Enable metadata access control
Mengaktifkan kontrol akses untuk pengguna: Enable access control for a user
Untuk memeriksa peran Anda, lihat View system roles.
DMS mencatat semua operasi perubahan izin dalam log operasi, kecuali perubahan pada kontrol akses metadata. Operasi yang dicatat meliputi pengajuan, pemberian, pelepasan, dan pencabutan izin. Untuk melihat log operasi, pilih Security and disaster recovery (DBS) > Operation Audit di bilah navigasi atas, lalu klik tab Operation Logs.
Mengajukan izin menggunakan tiket
Pengguna DMS, kecuali yang telah diaktifkan kontrol aksesnya, dapat mengirimkan tiket untuk mengajukan izin pada suatu resource.
Kirim tiket izin
Log on ke Konsol DMS V5.0.
Arahkan penunjuk ke ikon
di pojok kiri atas dan pilih All Features > Security and disaster recovery (DBS) > Permission Center > Permission Tickets.Jika Anda menggunakan konsol DMS dalam mode normal, pilih Security and disaster recovery (DBS) > Permission Center > Permission Tickets di bilah navigasi atas.
Pada halaman Access applyTickets, klik Access apply dan pilih jenis izin dari daftar drop-down.
Pada halaman Access apply Tickets, pilih resource dan konfigurasikan izin:
Pilih resource berdasarkan status hosting keamanan instans database:
Kategori Jenis izin yang didukung Cara memilih Secure Management-Disabled Instances-Login Masukkan endpoint atau nama instans database di kotak pencarian dan klik Search. Pilih instans dari hasil pencarian, lalu klik ikon 
untuk menambahkannya ke bagian Confirm selected instance.Secure Management-Enabled Instances-OWNER, Database-OWNER, Table-OWNER, Instances-Permission, Instances-Performance, Database-Permission, Table-Permission, Programmable Object, Row-Permission, Sensitive Column-Permission Masukkan nama database di kotak pencarian dan klik Search. Gunakan %sebagai wildcard untuk pencocokan kabur (misalnya,dms%test). Pilih database dari hasil pencarian, lalu klik ikon untuk menambahkannya ke bagian Selected Databases/Tables/Columns.Pilih izin. Pilih dari izin logon, kueri, ekspor, dan ubah, atur periode validitas, dan masukkan alasan permintaan.
Klik Submit. Tiket memasuki tahap persetujuan.
Setelah tiket disetujui, sistem secara otomatis memberikan izin yang diminta.
Alur kerja persetujuan
Pihak yang menyetujui bergantung pada cara instans database dikelola:
Security Collaboration mode: Proses persetujuan dapat disesuaikan.
Bukan dalam mode Security Collaboration:
Jika hosting keamanan dimatikan: Anda hanya dapat mengajukan izin logon. Pihak yang menyetujui secara default adalah DBA instans database tersebut.
Jika hosting keamanan diaktifkan: pihak yang menyetujui adalah pemilik resource. Jika tidak ada pemilik resource yang ditetapkan, pihak yang menyetujui adalah DBA instans database tersebut.