新建数据库控制策略

约束限制

• 仅专业版堡垒机支持数据库运维操作审计。
• 仅针对MySQL、Oracle、Postgresql、Gaussdb类型数据库，支持通过数据库控制策略设置操作细粒度控制。

前提条件

已获取“数据库控制策略”模块操作权限。

新建数据库控制策略

1. 登录堡垒机系统。
2. 选择“策略 > 数据库控制策略 >策略列表”，进入策略列表页面。
3. 单击“新建”，弹出策略基本信息配置窗口。
   

   选择一个策略，单击“更多 > 插入”，亦可新建数据库控制策略。配置完成后，在已创建的策略前新建一个策略。

4. 配置策略基本信息。

   表1 策略基本信息参数说明

   参数	说明
   策略名称	自定义的数据库控制策略名称，系统内“策略名称”不能重复。
   执行动作	策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当数据库运维会话执行策略生效的命令时，直接断开会话。 拒绝执行：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当数据库运维会话执行策略生效的命令时，允许执行。
   有效期	策略生效时间和策略的失效时间。
   时间限制	限制策略的生效时间段。

5. 单击“下一步”，关联规则集。

   选择规则集。详细规则集说明请参见管理规则集。

6. 单击“下一步”，关联用户或用户组，选择用户或用户组。

   当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。

7. 单击“下一步”，关联资源账户或账户组，选择数据库资源账户或账户组。

   当账户组关联策略后，新账户加入到账户组中会自动继承账户组的策略权限。

8. 单击“确定”，返回策略列表页面，查看新建的数据库控制策略。
   用户在运维过程中，触发策略规则，即会被限制相关操作。

   

   “关联用户”和“关联用户组”中用户需提交数据库授权工单权限，即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块，不能提交工单获取权限。

后续管理

数据库控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。

• 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、账户组。
• 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。
• 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。
• 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。