数据管理DMS提供了全方位细粒度的数据安全管理功能,您可以对实例、数据库、表、行、敏感列等进行权限管理。本文介绍不同的用户角色进行权限管理的方法。

注意事项

仅安全协同模式的实例支持数据库、表、行,敏感列等全方位、细粒度的权限管控。自由操作或稳定变更模式的实例仅支持申请或授予实例的登录权限。其他类型权限账号管控的需求,请使用账号管理功能,具体操作,请参见数据库账号权限管理
说明 目前DMS仅支持管理MySQL、PostgreSQL、MongoDB三种引擎的数据库账号,其他引擎的账号管理,请前往对应的控制台进行操作。

不同用户角色进行权限管理的方法

系统角色权限管理的方法
普通用户DMS中的普通用户(除开启了用户访问控制的用户)可以通过工单申请某个资源的操作权限或数据权限。具体操作,请参见通过工单申请权限
DBA、管理员
管理员
  • 通过用户管理功能,授予、回收目标用户某个资源的实例、库、表、行、敏感列权限。具体操作,请参见管理员管理权限
  • 开启用户访问控制。具体操作,请参见开启用户访问控制
结构只读不需要拥有实例、库、表的查询、变更或导出权限,即可查看所有实例、库、表的元数据。
说明
  • 您可单击控制台首页右上角的person,查看您的系统角色。
  • 除元数据访问控制外的权限变更操作(申请、授权、释放、回收)都会记录至操作日志中,您可以在安全与规范 > 操作审计操作日志页签下,查看权限变更记录。

通过工单申请权限

数据管理DMS中的用户(除开启了用户访问控制的用户)可以通过提交工单的方式申请权限。
说明 添加DMS用户,请参见用户管理
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择安全与规范 > 权限中心 > 权限工单
  3. 权限申请工单列表页面,单击权限申请,在下拉菜单中选择需申请的权限类别。
  4. 权限申请工单页面,配置工单信息。
    配置项支持的权限类别说明
    实例的管控模式类型-
    • 自由操作与稳定变更
    • 安全协同
    选择要申请权限的库/表/列
    • 库-权限
    • 表-权限
    • 敏感列-权限
    • 库-OWNER
    • 表-OWNER
    • 可编程对象
    • 实例-性能
    • 实例-Owner
    • 行-权限
    • 输入数据库库名进行搜索。支持%模糊匹配搜索,例如:dms%test
    • 单击搜索或按回车键。
    • 在搜索结果列表中,选中要添加权限的目标。
    • 单击5添加2,将选中的目标添加到确认已选择的库/表/列列表中。
    说明 数据库的管控模式需要为安全协同。
    选择要申请的实例
    • 实例-登录
    • 实例-性能
    • 实例-OWNER
    • 输入实例地址、名称进行搜索。
    • 单击搜索或按回车键。
    • 在搜索结果列表中,选中要添加权限的实例。
    • 单击5添加2,将选中的实例添加到确认已选择的实例列表中。
    说明
    • 如果您选择的权限类别为实例-登录,实例的管控模式需要为自由操作或稳定变更模式。
    • 如果您选择的权限类别为实例-性能或实例-OWNER,实例的管控模式需要为安全协同模式。
    权限类型
    • 实例-登录
    • 库-权限、表-权限
    • 敏感列-权限、行-权限
    • 可编程对象
    • 实例-性能
    权限类型包括:登录、查询、导出、变更和性能查看。详情请参见权限类型说明
    脱敏方式敏感列-权限选择脱敏方式:
    • 半脱敏:
      • 如果字段配置了脱敏算法,字段经过脱敏算法处理后显示。
      • 如果字段没有配置脱敏算法,只能看到全加密信息。
    • 明文:查询结果直接展示。
    期限
    • 实例-登录
    • 库-权限、表-权限
    • 敏感列-权限、行-权限
    • 可编程对象
    • 实例-性能
    选择您需要申请的权限期限。
    申请原因所有权限类别请您输入申请权限的原因。
  5. 单击提交申请
    待审批通过后,系统自动为您分配申请的权限。

其他操作

查看操作权限
  1. 在顶部菜单栏中,选择安全与规范 > 权限中心 > 我的权限
  2. 普通权限页签下,左侧第一个下拉列表中选择目标权限类型,在权限列表中查看您拥有的权限。
    说明
    • 实例权限中包含实例登录权限和性能查看权限。
    • 暂不支持查询和释放可编程对象权限。
释放操作权限
  1. 在权限列表中,选中需要释放的权限,单击释放权限
  2. 在弹出的权限操作对话框中,选中您要释放的权限类型,单击确认
查看数据权限
说明 Owner可以随时查看、评估权限分配的合理性,并进行资源的权限管理。
  1. 在顶部菜单栏中,选择安全与规范 > 权限中心 > 我的权限
  2. 单击Owner资源页签。
  3. 在左侧第一个下拉列表中选择Owner的实例Owner的库Owner的表
  4. 在资源列表中,查看您拥有的资源。
管理数据权限
  1. 在顶部菜单栏中,选择安全与规范 > 权限中心 > 我的权限
  2. 单击Owner资源页签。
  3. 在目标资源的操作列,进行权限管理、数据Owner调整、表列表查看、逻辑库配置等操作。

管理员、DBA管理权限

管理员、DBA可以通过实例管理功能,管理实例、数据库的权限。

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择数据资产 > 实例管理
  3. 管理实例权限。
    1. 单击实例列表页签,在目标实例的操作列中,选择更多 > 管理权限
    2. 查看、回收用户的权限,为某个用户添加实例权限。
      • 在目标用户的操作列中,单击查看详情,查看权限详情。
      • 在目标用户的操作列中,单击回收权限,回收用户权限。
      • 单击授权用户,为某个用户添加实例登录权限或性能查看权限。
  4. 管理数据库权限。
    1. 单击数据库列表页签,在目标数据库的操作列中,选择更多 > 权限管理
    2. 查看、回收用户的权限。为某个用户添加库、表权限。
      • 选择目标权限分类,在目标用户的操作列中,单击查看详情,查看权限详情。
      • 选择目标权限分类,在目标用户的操作列中,单击回收权限,回收用户权限。
      • 单击授权库权限授权表权限,为某个用户添加库、表权限。

管理员管理权限

管理员可以通过用户管理功能为某个用户添加权限或回收用户的权限。可添加、回收的权限类型包括:实例登录权限、性能查看权限、库权限、表权限、行权限和敏感列权限。
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 授予用户权限。
    1. 在目标用户的操作列中,单击授权,在下拉菜单中选择对应的权限类别。
    2. 在弹出的授权对话框中,配置授权信息,并单击确认
  4. 回收用户权限。
    1. 在目标用户的操作列中,单击更多 > 权限详情
    2. 用户权限列表对话框的普通权限页签中,选择目标权限类别。
    3. 选中目标权限,单击释放权限
    4. 权限操作对话框中,选择您要回收、释放的权限类型,单击确认

权限类型说明

权限类型说明
登录获取自由操作、稳定变更模式实例的登录权限后,可以通过数据库账号和密码访问数据库实例。
性能查看获取安全协同模式实例的性能查看权限类型后,可以查看数据库性能。更多信息,请参见数据库性能
查询获取安全协同模式实例的查询权限后,拥有在SQL窗口执行查询语句的权限。
变更获取安全协同模式实例的变更权限后:
  • 拥有在SQL窗口执行变更语句的权限(SQL窗口执行变更语句还受管理员配置约束)。
  • 拥有提交数据变更、库表同步工单的权限(非直接变更)。
导出获取安全协同模式实例的导出权限后,拥有提交数据导出工单的权限(非直接导出)。

常见问题

Q:访问控制授予RAM用户(子账号)使用DMS登录RDS实例的权限后,RAM用户在DMS上录入实例时,还是提示无录入实例的权限,该如何处理?

A:需要保证阿里云账号(主账号)已将该RDS实例录入至DMS,此时,RAM用户再进行登录RDS实例操作。录入实例的具体方法,请参见云数据库录入