更新时间:2024-06-12 GMT+08:00
新建数据库控制策略
数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。
数据库控制策略支持以下功能项:
- 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
- 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
- 允许执行:默认允许执行所有操作。当触发策略规则后,放行规则集中操作。
- 拒绝执行:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截”。
- 断开连接:触发该策略规则后,拒绝执行该操作,断开会话连接,界面提示“本次连接已被管理员强制断开!”
- 动态授权:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截,请提交数据库授权工单申请动态授权”,同时生成数据库授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。
约束限制
- 仅专业版云堡垒机支持数据库运维操作审计。
- 仅针对MySQL、Oracle、Postgresql、Gaussdb类型数据库,支持通过数据库控制策略设置操作细粒度控制。
前提条件
已获取“数据库控制策略”模块操作权限。
新建数据库控制策略
- 登录云堡垒机系统。
- 选择 ,进入策略列表页面。
- 单击“新建”,弹出策略基本信息配置窗口。
选择一个策略,单击
,亦可新建数据库控制策略。配置完成后,在已创建的策略前新建一个策略。 - 配置策略基本信息。
表1 策略基本信息参数说明 参数
说明
策略名称
自定义的数据库控制策略名称,系统内“策略名称”不能重复。
执行动作
策略控制用户在数据库的执行动作。
包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。
- 断开连接:当数据库运维会话执行策略生效的命令时,直接断开会话。
- 拒绝执行:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行。
- 动态授权:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
- 允许执行:当数据库运维会话执行策略生效的命令时,允许执行。
有效期
策略生效时间和策略的失效时间。
时间限制
限制策略的生效时间段。
- 单击“下一步”,关联规则集。
选择规则集。详细规则集说明请参见管理规则集。
- 单击“下一步”,关联用户或用户组,选择用户或用户组。
当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
- 单击“下一步”,关联资源账户或账户组,选择数据库资源账户或账户组。
当账户组关联策略后,新账户加入到账户组中会自动继承账户组的策略权限。
- 单击“确定”,返回策略列表页面,查看新建的数据库控制策略。
用户在运维过程中,触发策略规则,即会被限制相关操作。
“关联用户”和“关联用户组”中用户需提交数据库授权工单权限,即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块,不能提交工单获取权限。
后续管理
数据库控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。
父主题: 数据库控制策略