本文介绍数据管理DMS中的用户管理功能,包含添加用户、编辑用户、管控用户权限等操作。

前提条件

系统角色为管理员。查看系统角色的具体步骤,请参见查看我的系统角色

注意事项

  • 确保一个租户内至少保留一个有效的管理员角色账号(应用内有限制保障)。
  • 通过DMS管理的用户都可设置为管理员角色,此操作与登录DMS账号的属性无关。例如,无论是阿里云账号(主账号)或RAM用户(子账号)都可进行操作。
  • 开通DMS服务时,阿里云账号(主账号)初始化为管理员角色。
  • 若RAM用户拥有AdministratorAccess权限,将自动初始化为DMS管理员角色。
  • 一个租户下可添加多个阿里云账号。您可以在用户管理页面进行添加,系统自动将添加的用户加入您所在的租户下。已加入该租户的用户可以查看租户信息
    说明 阿里云账号(主账号)首次登录DMS时,系统会自动创建该账号对应的租户。更多租户信息,请参见租户的概念

登录DMS控制台

可通过如下三种方式登录DMS控制台:
  • 使用阿里云账号登录DMS控制台。具体操作,请参见登录DMS的账号
  • 以RAM用户登录DMS控制台。具体操作,请参见登录DMS的账号
  • 配置用户SSO(Single Sign On,单点登录,也称为身份联合登录)或角色SSO,使用企业自身的身份认证系统登录DMS控制台。具体操作,请参见使用域账号登录DMS

添加用户

方法一:手动添加用户

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 进入用户管理页面,单击新增按钮。
  4. 添加用户对话框中,输入待增加用户的阿里云账号UID。
    说明 鼠标移动到页面右上角的头像图标,查看阿里云账号UID。
  5. 为待添加用户选择系统角色,支持多选。更多信息,请参见系统角色
  6. 单击确认

方法二:添加当前阿里云账号的RAM用户(子账号)

说明
  • 仅允许当前的阿里云账号和已授权ListUser权限的RAM用户操作。
  • 通过该方式添加的用户,默认的系统角色为普通用户。如需调整系统角色请参见编辑用户
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 进入用户管理页面,单击页面上方的同步子账号
  4. 同步子账号对话框中,搜索账号阿里云账号显示名或UID。
  5. 选中目标子账号,单击添加选中用户

编辑用户

编辑用户信息

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 在用户管理页面,选中目标用户。
  4. 单击页面上方的编辑用户
    说明 您还可以直接单击目标用户行操作列下的编辑,编辑用户信息。
  5. 编辑用户对话框中,您可修改如下信息:
    类别配置说明
    基本信息显示名显示在用户管理页面的名称,可以直观辨认该用户的身份。
    角色DMS提供普通用户、DBA、管理员、安全管理员、结构只读五种系统角色。更多信息,请参见系统角色
    手机号码请输入手机号码,当前支持录入如下地区的手机号码:
    • 中国(+86)
    • 英国(+44)
    • 马来西亚(+60)
    • 印度尼西亚(+62)
    • 新加坡(+65)
    • 印度(+91)
    说明 若通知方式选择钉钉,则该手机号码需为钉钉绑定的手机号。
    查询上限次数设置平台当前用户每天查询结果集的总次数上限,达到该上限则无法继续查询。取值为整数,您可选择系统已有的有效期,也可选择其他自行设置有效期。
    说明 若某用户由于发布、跟踪系统等原因,导致当天的查询行数或者次数超过限额,可以找到对应用户,编辑调大对应的上限值。
    查询上限行数设置平台当前用户每天查询结果集的总行数上限,达到该上限则无法继续查询。取值为整数,您可选择系统已有的有效期,也可选择其他自行设置有效期。
    消息通知电子邮箱请输入电子邮箱地址。
    钉钉机器人请输入钉钉机器人webhook地址。具体操作,请参见获取钉钉机器人Webhook地址
    webhook请输入自定义webhook地址,支持集成到已有的运维系统或消息通知系统。具体操作,请参见使用自定义webhook通知
    签名方式支持NONE、HMAC_SHA1两种方式。
    • NONE(默认):不使用签名。
    • HMAC_SHA1:使用HMAC_SHA1加密算法(Hashed Message Authentication Code, Secure Hash Algorithm)。
    签名密钥填写签名密钥。该配置仅在签名方式选择HMAC_SHA1时显示。
    通知方式支持短信、钉钉、邮箱、钉钉机器人、webhook五种方式,且支持多选。
  6. 单击确认修改

授权用户

说明授权实例操作为例进行介绍,同时支持授权权限模板授权数据库授权表授权行授权敏感列操作。更多权限信息,请参见权限管理
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 选中目标用户,单击页面上方的授权用户 > 授权实例
    说明 您也可以选择目标用户行操作列下的授权 > 授权实例,对用户进行授权。
  4. 授权实例对话框中,配置如下信息:
    类别配置是否必填说明
    授权的实例选择需要授权的数据库实例,支持多选。
    权限设置权限类型非安全协同模式实例支持实例登录。安全协同模式实例支持性能查看
    过期时间选择该权限过期日期。

禁用用户

禁用用户后,该用户将无法登录DMS,但其原有的权限等配置数据其权限不会被回收或释放等其他变动,在启用用户后原有的权限及配置数据仍可以继续使用。

说明
  • 禁用用户后,仍占用用户规格的1个名额。
  • 无法禁用系统角色为某数据库实例DBA的用户,您需要将该数据库实例DBA修改为其他用户后再进行操作。修改数据库实例DBA的具体操作,请参见编辑实例
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 选中目标用户,选择页面上方的操作用户 > 禁用用户
  4. 确认对话框中,单击确认

删除用户

删除用户后,该用户无法登录DMS,同时会将所有的数据Owner配置、权限数据从DMS中清空。

说明
  • 删除的目标用户不能绑定任何资源信息。例如,系统实例管理里的DBA、安全规则里的审批节点人员。
  • 删除目标用户后,所有数据都会被清空,但用户记录和操作日志不会清除,在用户的账号信息上显示已删除的标签。
  • 已删除用户不会占用用户规格的名额。
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 选中目标用户,选择页面上方的操作用户 > 删除用户
  4. 确认对话框中,单击确认

启用用户

启用用户可以恢复禁用状态用户的原有权限及数据配置,也可恢复删除状态用户登录DMS的权限,但从删除状态恢复到启用状态后的用户,等同于一个全新的用户,原有权限及数据配置都被清除,需要重新申请权限

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 选中目标用户,选择页面上方的操作用户 > 启用用户
  4. 确认对话框中,单击确认

开启用户访问控制

如果目标用户开启了元数据访问控制功能,那么该用户会受到如下限制:
  • 仅能在DMS查询与访问已被授权的数据库,可以在控制台首页顶部导航栏中,选择安全与规范 > 权限中心 > 我的权限,查询已被授权的权限。详情请参见查看我的权限
  • 无法查看到该实例下的其他数据库与其他实例,也无法主动申请其他实例、数据库的权限。
  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择运维管理 > 用户管理
  3. 在目标用户行的操作列下,选择更多 > 访问控制
    说明 您也可以批量选中多个用户并单击页面上方的访问控制按钮,批量开启多个用户的访问控制开关。
  4. 用户访问控制对话框中,打开元数据访问控制开关,并单击确认

常见问题

  • Q:DMS中的管理员或者DBA角色可以是RAM用户吗?

    A:可以。角色配置与账号无关。

  • Q:如果某个用户操作数据库行为有疑,如何处理?
    A:
    • 若需要保留目标用户的权限,您可以选择禁用用户,禁用后,该用户无法登录DMS服务。再使用DMS操作审计功能查看该用户对数据库进行直接操作的所有行为。若经过排查后无该用户的操作无问题,则可以重新启用用户,启用后,该用户原有的权限及配置仍然存在,可快速投入工作。
    • 若不需要保留用户的权限,可选择删除用户,删除后,该用户无法登录DMS服务,同时该账号下的所有权限、数据Owner等配置会被清空。
  • Q:系统角色为管理员的用户如何快速找到其他账号?

    A:在控制台顶部菜单栏中,选择运维管理 > 用户管理,在用户管理页面搜索目标账号,支持账号、邮箱、显示名、阿里云UID四个维度的关键字检索和账号状态的快速过滤。