Gunakan tab Access apply di Aturan Keamanan untuk menentukan alur kerja persetujuan bagi permintaan izin pada instans database, database, tabel, kolom, baris, objek yang dapat diprogram, dan kepemilikan data. Aturan ditulis dalam bahasa domain-spesifik (DSL) DMS dan dievaluasi sebagai checkpoint ketika pengguna mengirimkan tiket izin.
Cara kerja
Ketika pengguna mengirimkan tiket izin, DMS mengevaluasinya terhadap aturan yang ditentukan di bawah setiap checkpoint. Tiket hanya dapat dilanjutkan jika lolos dari semua aturan yang berlaku. Setiap checkpoint dipetakan ke jenis tiket tertentu dan memiliki templat persetujuan default yang berlaku ketika tidak ada aturan kustom yang sesuai.
Tabel berikut menunjukkan hubungan antara jenis izin, checkpoint, dan templat default:
| Jenis izin | Checkpoint | Templat persetujuan default |
|---|---|---|
| Instans (performa, login) | Validation for instance permission application | [Instance-permission application] default approval template |
| Database | Database permission application validation | [DB-permission application] default approval template |
| Tabel | Table permission application validation | Table-permission request default approval template |
| Objek yang dapat diprogram | Programmable object verification | [Programmable object-permission application] default approval template |
| Kolom sensitif | Sensitive field application validation | [Field-permission application] default approval template |
| Baris | Line permission application verification | Line-permission application default approval template |
| Kepemilikan data (tidak memiliki pemilik saat ini) | Owner application validation | [Owner-application] default approval template (when the resource has no owner) |
| Kepemilikan data (memiliki pemilik) | Owner application validation | [Owner-application] default approval template (when the resource has an owner) |
Templat default untuk setiap checkpoint berlaku ketika tidak ada aturan kustom yang dikonfigurasi untuk checkpoint tersebut pada tingkat risiko tertentu. Untuk mengganti templat default, buat aturan keamanan di bawah checkpoint yang relevan.
Prasyarat
Sebelum memulai, pastikan Anda memiliki salah satu peran berikut:
DMS administrator
Database administrator (DBA)
Security administrator
Konsep utama
Faktor adalah variabel yang telah ditentukan sebelumnya dan menyediakan konteks saat DMS mengevaluasi aturan keamanan. Nama faktor menggunakan awalan @fac.. Faktor berikut tersedia di tab Access apply:
| Faktor | Deskripsi |
|---|---|
@fac.env_type | Nama tampilan tipe lingkungan, seperti DEV atau PRODUCT. Untuk detailnya, lihat Change the environment type of an instance. |
@fac.schema_name | Nama database. |
@fac.perm_apply_duration | Durasi izin yang diminta, dalam satuan jam. |
@fac.column_security_level | Tingkat keamanan kolom. Nilai yang valid: sensitive, confidential, inner. |
@fac.perm_type | Jenis izin yang diminta, dikembalikan sebagai daftar string seperti ['CORRECT','EXPORT']. Nilai yang valid: QUERY, EXPORT, CORRECT, LOGIN, PERF. Gunakan dengan @fun.listEqualIgnoreOrder untuk mengevaluasi himpunan izin secara tepat. Misalnya, @fun.listEqualIgnoreOrder(@fac.perm_type, ['QUERY']) memeriksa apakah hanya izin kueri yang diminta. |
Actions menentukan apa yang dilakukan DMS ketika kondisi aturan terpenuhi. Nama aksi menggunakan awalan @act.. Aksi berikut tersedia di tab Access apply:
| Aksi | Deskripsi |
|---|---|
@act.forbid_submit_order | Memblokir pengiriman tiket. |
@act.do_not_approve | Menentukan ID templat persetujuan. Untuk detailnya, lihat Configure approval processes. |
@act.choose_approve_template | |
@act.choose_approve_template_with_reason |
Untuk detail sintaks DSL, lihat DSL syntax for security rules.
Templat aturan keamanan
DMS menyediakan templat yang telah ditentukan sebelumnya untuk skenario persetujuan umum. Pilih templat sebagai titik awal dan modifikasi DSL-nya agar sesuai dengan kebutuhan Anda.
| Checkpoint | Templat yang tersedia |
|---|---|
| Owner application validation | Block all ownership applications<br>Block ownership applications in production<br>Auto-approve ownership applications in test |
| Database permission application validation | Block all database permission applications<br>Block database permission applications in production<br>Auto-approve database permission applications in test |
| Table permission application validation | Block all table permission applications<br>Block table permission applications in production<br>Auto-approve table permission applications in test |
| Programmable object verification | Block all programmable object applications<br>Block programmable object applications in production<br>Auto-approve programmable object applications in test |
| Sensitive field application validation | Block all sensitive column permission applications<br>Route confidential column applications to a specific approval process |
| Line permission application verification | Block all row permission applications<br>Block row permission applications in production<br>Route row permission applications to a specific approval process |
Buat aturan keamanan
Login ke DMS console V5.0.
-
Arahkan penunjuk ke ikon
di pojok kiri atas dan pilih . CatatanJika Anda menggunakan Konsol DMS dalam mode normal, pilih di bilah navigasi atas.
Arahkan penunjuk ke ikon
di pojok kiri atas dan pilih All functions > Security and Specifications > Security Rules.Dalam mode normal, pilih Security and Specifications > Security Rules di bilah navigasi atas.
Pada tab Security Rules, temukan set aturan keamanan yang ingin dikelola dan klik Edit di kolom Actions.
Pada halaman Details, klik tab Access apply di panel kiri.
Klik Create Rule di samping Actions.
Pada kotak dialog Create Rule - Access apply, konfigurasikan parameter berikut:
Parameter Wajib Deskripsi Checkpoints Ya Checkpoint tempat aturan ini akan dilampirkan. Pilih dari tujuh checkpoint yang tercantum di Cara kerja. Template database Tidak Templat yang telah ditentukan sebelumnya untuk digunakan sebagai titik awal. Setelah memilih checkpoint, klik Load from Template Database untuk melihat templat yang tersedia. Nama aturan dan DSL akan diisi secara otomatis. Rule name Ya Nama deskriptif untuk aturan tersebut. Diisi secara otomatis saat memuat dari templat. Rule DSL Ya Ekspresi DSL yang menentukan kondisi dan aksi. Diisi secara otomatis saat memuat dari templat. Untuk detail sintaksis, lihat DSL syntax for security rules. Klik Submit.
Aturan dibuat dalam status Disabled secara default. Klik Enable di kolom Actions, lalu klik OK untuk mengaktifkannya.
Langkah selanjutnya
DSL syntax for security rules — Pelajari sintaks DSL lengkap untuk menulis kondisi dan aksi kustom.
Configure approval processes — Siapkan templat persetujuan yang dirujuk oleh
@act.choose_approve_template.Data change — Modifikasi templat persetujuan default untuk permohonan izin instans.