Data Management提供了全方位細粒度的資料安全管理功能,支援對執行個體、資料庫、表、資料列、資料行等進行許可權管理,可按需給授權對象登入、查詢、匯出、變更等權限類別型。
DMS權限類別說明
許可權分類 | 權限類別 | 許可權說明 | 執行個體是否開啟安全託管 |
操作許可權(普通許可權) | 執行個體許可權 | 登入執行個體許可權:未開啟安全託管的執行個體,使用者可以申請執行個體的登入許可權。獲得登入許可權後,可以通過資料庫帳號和密碼訪問資料庫執行個體。 說明 資料庫的帳號和密碼由您公司的相關負責人管理和提供。 | 未開啟安全託管 |
查看執行個體效能許可權:對於開啟安全託管的執行個體,使用者可以申請查看資料庫效能許可權。更多資訊,請參見資料庫效能。 | 已開啟安全託管 | ||
擁有整個執行個體的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | |||
庫許可權 | 擁有整個資料庫的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | ||
表許可權 | 擁有整個表的查詢、匯出、變更許可權(不包含敏感欄位和行級管控資料)。 | ||
敏感列許可權 | 擁有敏感欄位的查詢、匯出、變更許可權。 說明 申請開通敏感列許可權的前提條件:
| ||
行許可權 | 擁有行級管控資料的查詢、匯出、變更許可權。更多資訊,請參見行級管控。 說明 申請開通行許可權的前提條件:擁有庫、表許可權。 | ||
可程式化對象許可權 | 對於已開啟安全託管的執行個體,獲得可程式化對象許可權才可以查詢、匯出、變更資料庫的可程式化對象。更多資訊,請參見可程式化對象。 | ||
資料許可權(資源Owner) | 執行個體Owner | Owner可查看對應資源的人員授予情況,授予、回收對應資源的許可權,可查詢對應資源中的資料(不包含敏感欄位和行級管控資料)。 說明 未開啟安全託管的執行個體添加或刪除執行個體Owner,只能由管理員、DBA在首頁左側執行個體列表中按右鍵目標執行個體,選擇進行管理。 | 已開啟安全託管 |
庫Owner | |||
表Owner | |||
中繼資料存取控制 | 中繼資料存取控制 |
說明 如果您擁有資料許可權、操作許可權中的任意一種許可權,即被視為已授權該執行個體或資料庫。 | 已開啟安全託管 |
許可權說明如下:
查詢許可權:擁有在SQL視窗執行查詢SQL的許可權。
變更許可權:擁有在SQL視窗執行變更SQL的許可權和提交資料變更、庫表同步工單的許可權。
匯出許可權:擁有提交資料匯出工單的許可權。
說明在SQL視窗匯出SQL結果集的操作不受匯出許可權限制。
使用者權限校正流程
當使用者(包含阿里雲帳號(主帳號)和RAM使用者(子帳號))在DMS對資料庫進行查詢、變更等操作時,DMS會自動校正使用者是否有操作許可權。DMS許可權校正優先順序為:DMS細粒度的許可權管控>RAM使用者權限。
若管理員需要禁止無資源許可權的使用者搜尋執行個體、庫等資源,則可以為執行個體開啟存取控制。開啟存取控制後,僅有許可權的使用者能夠搜尋到目標執行個體、庫等資源。更多資訊,請參見設定中繼資料存取控制。
關閉RAM許可權校正。
在中關閉是否開啟RAM許可權校正,不允許RAM使用者使用已有的RAM許可權在DMS對執行個體進行操作。
開啟執行個體存取控制。
說明僅安全協同模式的執行個體支援開啟存取控制。
在中找到目標執行個體,選擇,開啟存取控制開關。
其他動作
在您瞭解完資源權限類別型後,您可能還需要:
管理資源的存取控制許可權。不同使用者角色管理存取控制的方法。更多資訊,請參見管理存取控制許可權。
查看擁有的操作許可權和資料許可權。更多資訊,請參見查看我的許可權。
對不同庫、表的許可權審批次程序進行差異化定製。定製審批次程序的應用情境如下:
對核心業務庫表或生產資料執行嚴格的流程審批。
對邊緣業務或測試環境的資料執行輕量化的流程審批甚至無流程審批。
具體操作,請參見設定審批次程序。
其他類型許可權帳號管控的需求,請使用帳號管理功能,具體操作,請參見資料庫帳號許可權管理。
說明目前DMS僅支援管理MySQL、PostgreSQL、MongoDB三種引擎的資料庫帳號,其他引擎的帳號管理,請前往對應的控制台進行操作。
常見問題
Q:DMS授權執行個體登入後還是報錯沒有查詢許可權?
A:當執行個體為非安全託管模式時,其他使用者只需申請執行個體登入許可權,即可進行相關操作。而執行個體調整為安全託管模式後,使用者需分別申請查詢、匯出、變更等具體許可權,才能執行對應操作。您可通過 管理存取控制許可權頁面查看和系統管理使用者的許可權配置。