Data Management的安全託管功能可有效解決傳統的資料庫管理方案中存在的問題,包括資料庫帳號和密碼存在泄露的風險、多資料庫和帳號的管理較為複雜,以及使用者資源許可權管理較為混亂等。執行個體開啟安全託管後將進入免登入狀態,同時受DMS細粒度的資源許可權存取控制。使用者可以在不接觸資料庫帳號及密碼的情況下,訪問有許可權的執行個體、資料庫等資源。
背景資訊
傳統的資料庫管理方案 | DMS安全託管方案 |
多資料庫多帳號不易管理、授權操作較為複雜。若許可權回收不及時,極易導致資料泄露,此外,操作資料庫的人員也難以追溯。 | 安全託管是Data Management在阿里集團資料庫許可權存取控制的最佳實務,為企業提供一系列資料庫許可權管控,同時,可協助企業實現多雲資料庫統一許可權管理。 |
視頻介紹
開啟安全託管前後對比
對比項 | 開啟前 | 開啟後 |
資料庫帳號、密碼 | 使用資料庫帳號、密碼串連資料庫,存在賬密泄露風險。 | 員工不接觸賬密,不存在賬密泄露風險。 |
執行個體登入狀態 | 登入狀態易失效,24小時斷開資料庫連接。中斷連線後,需要重新登入資料庫。 | 免登入執行個體,有執行個體的查詢、變更等許可權可直接使用。 |
管理多帳號多資料庫 | 不易管理,需要帳號與資料庫配套管理。 | 使用阿里雲帳號或域帳號認證訪問資料庫。 |
資料庫許可權管理 | 僅支援管理執行個體登入許可權。 |
|
執行個體的登入許可權 | 需要使用者單獨申請登入許可權。 | 免登入,不涉及申請登入許可權。普通使用者可根據實際情境,申請資源的查詢、匯出和變更許可權。 |
費用說明
安全託管功能可免費使用。
注意事項
穩定變更和自由操作執行個體需要您手動開啟安全託管。開啟操作,請參見開啟安全託管。
說明安全協同執行個體預設已開啟安全託管。
為保證您更好地使用DMS提供的功能、全面管控資料庫,建議在DMS託管較高許可權的資料庫帳號。
執行個體開啟安全託管不影響資料庫的正常串連和資料庫本身。
使用流程圖
開啟安全託管
管理員或DBA登入Data Management 5.0後可為執行個體開啟安全託管。
執行個體未錄入DMS
在管理員或DBA錄入資料庫執行個體時開啟安全託管。錄入執行個體的操作,請參見雲資料庫錄入和他雲/自建資料庫錄入。
執行個體已錄入DMS
管理員或DBA可在DMS首頁左側地區的資料庫執行個體列表中按右鍵目標執行個體,選擇編輯執行個體,再開啟安全託管。具體操作,請參見編輯執行個體資訊。
關閉安全託管
如果您需要將執行個體從免登入列表中移除,則可關閉安全託管。
管理員或DBA可在DMS首頁左側地區的資料庫執行個體列表中按右鍵目標執行個體,選擇編輯執行個體,選擇不託管。
關閉安全託管後,執行個體原有的許可權配置會失效,且每次登入資料庫都需要輸入資料庫帳號及密碼。
其他動作
查看執行個體是否開啟安全託管
在DMS控制台頁面左側的資料庫執行個體地區找到目標執行個體,將滑鼠懸浮至執行個體名稱上方查看執行個體是否開啟安全託管。
管理員、DBA或執行個體Owner手動給使用者授權。具體操作,請參見管理存取控制許可權。
在資料庫執行個體列表中按右鍵目標執行個體或資料庫,選擇系統管理權限,並為使用者授予執行個體、庫或其他資源許可權。
查看自己擁有的資源許可權。具體操作,請參見查看我的許可權。
管理員查看其他使用者的資源許可權、管理員或DBA查看執行個體和資料庫許可權的擁有者。具體操作,請參見管理員管理其他使用者的許可權
管理員或DBA追溯許可權變更操作細節。具體操作,請參見Action Trail。
常見問題
Q:開啟安全託管後,如何從執行個體層級禁止無執行個體許可權的使用者看到執行個體相關資訊?
A:操作步驟如下:
關閉RAM許可權校正。
在中關閉是否開啟RAM許可權校正,不允許RAM使用者使用已有的RAM許可權在DMS對執行個體進行操作。
開啟執行個體存取控制。
說明僅安全協同模式的執行個體支援開啟存取控制。
在中找到目標執行個體,選擇,開啟存取控制開關。開啟存取控制後,僅有許可權的使用者才能搜尋到該執行個體。更多資訊,請參見存取控制。
Q:開啟安全託管後,如何從使用者層級禁止使用者看到沒有許可權的執行個體資訊?
A:操作步驟如下:
關閉RAM許可權校正。
在中關閉是否開啟RAM許可權校正,不允許RAM使用者使用已有的RAM許可權在DMS對執行個體進行操作。
開啟使用者存取控制。
在中找到目標使用者,選擇,開啟存取控制開關。開啟存取控制後,該使用者只能搜尋到有許可權的執行個體或者資料庫。更多資訊,請參見存取控制。
安全託管相關問題,請參見安全託管常見問題。