更新时间:2024-05-11 GMT+08:00

新建数据库控制策略

数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。

数据库控制策略支持以下功能项:

  • 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
  • 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
    • 允许执行:默认允许执行所有操作。当触发策略规则后,放行规则集中操作。
    • 拒绝执行:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截”
    • 断开连接:触发该策略规则后,拒绝执行该操作,断开会话连接,界面提示“本次连接已被管理员强制断开!”
    • 动态授权:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截,请提交数据库授权工单申请动态授权”,同时生成数据库授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。

约束限制

  • 专业版云堡垒机支持数据库运维操作审计。
  • 仅针对MySQL、Oracle、Postgresql、Gaussdb类型数据库,支持通过数据库控制策略设置操作细粒度控制。

前提条件

已获取“数据库控制策略”模块操作权限。

新建数据库控制策略

  1. 登录云堡垒机系统。
  2. 选择策略 > 数据库控制策略 >策略列表,进入策略列表页面。

    图1 数据库控制策略页面

  3. 单击“新建”,弹出策略基本信息配置窗口。

    选择一个策略,单击更多 > 插入,亦可新建数据库控制策略。配置完成后,在已创建的策略前新建一个策略。

  4. 配置策略基本信息。

    图2 配置策略基本信息
    表1 策略基本信息参数说明

    参数

    说明

    策略名称

    自定义的数据库控制策略名称,系统内“策略名称”不能重复。

    执行动作

    策略控制用户在数据库的执行动作。

    包括“断开连接”“拒绝执行”“动态授权”“允许执行”

    • 断开连接:当数据库运维会话执行策略生效的命令时,直接断开会话。
    • 拒绝执行:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行。
    • 动态授权:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
    • 允许执行:当数据库运维会话执行策略生效的命令时,允许执行。

    有效期

    策略生效时间和策略的失效时间。

    时间限制

    限制策略的生效时间段。

  5. 单击“下一步”,关联规则集。

    选择规则集。详细规则集说明请参见管理规则集

    图3 选择规则集

  6. 单击“下一步”,关联用户或用户组,选择用户或用户组。

    当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。

    图4 选择用户

  7. 单击“下一步”,关联资源账户或账户组,选择数据库资源账户或账户组。

    当账户组关联策略后,新账户加入到账户组中会自动继承账户组的策略权限。

    图5 选择资源账户

  8. 单击“确定”,返回策略列表页面,查看新建的数据库控制策略。

    用户在运维过程中,触发策略规则,即会被限制相关操作。

    “关联用户”“关联用户组”中用户需提交数据库授权工单权限,即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块,不能提交工单获取权限。

后续管理

数据库控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。

  • 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
  • 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
  • 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
  • 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。